Möglicherweise treten Probleme beim Konfigurieren von Cert-to-Kerberos in Ihrer Umgebung auf. Sie können diese Probleme anhand mehrerer Verfahren diagnostizieren und korrigieren.
Fehlermeldung: Interner Fehler. Wenden Sie sich an Ihren Administrator.
Überprüfen Sie die Datei /opt/vmware/gateway/logs/authbroker.log auf die Meldung.
"OSCP validation of CN=clientCert, OU=EUC, O=<org name>, ST=<state name>, C=IN failed with "Could not send OCSP request to responder: Connection refused (Connection refused) , will attempt CRL validation"
Das bedeutet, dass die in „X.509-Zertifikat“ konfigurierte OCSP-URL nicht erreichbar oder falsch ist.
Fehler bei ungültigem OCSP-Zertifikat
"revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify signing certificate for OCSP responder:http://asdkad01/ocsp". will attempt CRL validation."
wird angezeigt, wenn für OCSP ein ungültiges Zertifikat hochgeladen wird, oder wenn das OCSP-Zertifikat widerrufen wird.
Fehler bei fehlgeschlagener Überprüfung der OCSP-Antwort
"WARN ocsp.BouncyCastleOCSPHandler: Failed to verify OCSP response: CN=asdkAD01.Asdk.ADrevocation.RevocationCheck: 08/23 14:25:49,975" [tomcat-http--26] WARN revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify signing certificate for OCSP responder: http://asdkad01/ocsp". will attempt CRL validation."
wird manchmal angezeigt, wenn die Überprüfung der OCSP-Antwort fehlschlägt.
Fehlermeldung: „Clientzertifikat von Sitzung <sessionId> kann nicht abgerufen werden“
Gehen Sie wie nachstehend beschrieben vor, wenn diese Meldung angezeigt wird:
Überprüfen Sie die Einstellungen des X.509-Zertifikats und bestimmen Sie, ob es konfiguriert ist.
Die Einstellungen des X.509-Zertifikats sind konfiguriert: Überprüfen Sie das Clientzertifikat auf dem clientseitigen Browser, um festzustellen, ob es von derselben Zertifizierungsstelle ausgestellt wurde, die im Feld „Root- und Zwischen-CA-Zertifikate“ in den Einstellungen des X.509-Zertifikats hochgeladen wurde.