Vous pouvez rencontrer des difficultés lorsque vous configurez Cert-to-Kerberos dans votre environnement. Vous pouvez utiliser diverses procédures pour diagnostiquer et corriger ces problèmes.
Message d'erreur : Erreur interne. Contactez l'administrateur
Recherchez le message dans le fichier /opt/vmware/gateway/logs/authbroker.log
"OSCP validation of CN=clientCert, OU=EUC, O=<org name>, ST=<state name>, C=IN failed with "Could not send OCSP request to responder: Connection refused (Connection refused) , will attempt CRL validation"
Cela indique que l'URL d'OCSP configurée dans « Certificat X.509 » n'est pas accessible ou incorrecte.
Erreur lorsque le certificat OCSP n'est pas valide
"revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify signing certificate for OCSP responder:http://asdkad01/ocsp". will attempt CRL validation."
s'affiche lorsqu'un certificat non valide pour OCSP est téléchargé ou si le certificat OCSP est révoqué.
Erreur lorsque la vérification de la réponse OCSP échoue
"WARN ocsp.BouncyCastleOCSPHandler: Failed to verify OCSP response: CN=asdkAD01.Asdk.ADrevocation.RevocationCheck: 08/23 14:25:49,975" [tomcat-http--26] WARN revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify signing certificate for OCSP responder: http://asdkad01/ocsp". will attempt CRL validation."
s'affiche parfois lorsque la vérification de la réponse OCSP échoue.
Message d'erreur : impossible de récupérer le certificat client à partir de la session : <sessionId>
Si ce message s'affiche :
Vérifiez les paramètres de certificat X.509 et déterminez s'ils sont configurés
Si les paramètres du certificat X.509 sont configurés : vérifiez le certificat client installé sur le navigateur côté client pour voir s'il est émis par la même autorité de certification téléchargée dans le champ « Certificats d'autorité de certification racine et intermédiaire » dans les paramètres du certificat X.509.