當您在環境中設定 Cert-to-Kerberos 時,可能會遭遇難題。您可以使用多種程序來診斷和修正這些問題。
內部錯誤。請連絡管理員
檢查 /opt/vmware/gateway/logs/certauth-service.log 中的訊息
"OSCP validation of CN=clientCert, OU=EUC, O=<org name>, ST=<state name>, C=IN failed with "Could not send OCSP request to responder: Connection refused (Connection refused) , will attempt CRL validation"
這表示「X.509 憑證」中設定的 OCSP URL 無法連線或不正確。
OCSP 憑證無效時發生錯誤
"revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify signing certificate for OCSP responder:http://asdkad01/ocsp". will attempt CRL validation."
顯示於上傳了無效的 OCSP 憑證或是 OCSP 憑證已撤銷時。
OCSP 回應驗證失敗時發生錯誤
"WARN ocsp.BouncyCastleOCSPHandler: Failed to verify OCSP response: CN=asdkAD01.Asdk.ADrevocation.RevocationCheck: 08/23 14:25:49,975" [tomcat-http--26] WARN revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify signing certificate for OCSP responder: http://asdkad01/ocsp". will attempt CRL validation."
有時會在 OCSP 回應驗證失敗時顯示。
無法從工作階段 <sessionId> 中擷取用戶端憑證
- 請檢查 X.509 憑證設定並判斷是否已設定。
- 如果已設定 X.509 憑證設定:請檢查用戶端瀏覽器上安裝的用戶端憑證,以查看是否由 [X.509 憑證] 設定中 [根憑證和中繼 CA 憑證] 欄位上傳的相同 CA 所核發。