當您在環境中設定 Cert-to-Kerberos 時,可能會遭遇難題。您可以使用多種程序來診斷和修正這些問題。

錯誤訊息:內部錯誤。請連絡管理員

檢查 /opt/vmware/gateway/logs/authbroker.log 中的訊息

"OSCP validation of CN=clientCert, OU=EUC, O=<org name>, ST=<state name>, C=IN failed with "Could not send OCSP request to responder: Connection refused (Connection refused) , will attempt CRL validation"

這表示「X.509 憑證」中設定的 OCSP URL 無法連線或不正確。

OCSP 憑證無效時發生錯誤

"revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify signing certificate for OCSP responder:http://asdkad01/ocsp". will attempt CRL validation."

顯示於上傳了無效的 OCSP 憑證或是 OCSP 憑證已撤銷時。

OCSP 回應驗證失敗時發生錯誤

"WARN ocsp.BouncyCastleOCSPHandler: Failed to verify OCSP response: CN=asdkAD01.Asdk.ADrevocation.RevocationCheck: 08/23 14:25:49,975" [tomcat-http--26] WARN revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify signing certificate for OCSP responder: http://asdkad01/ocsp". will attempt CRL validation."

有時會在 OCSP 回應驗證失敗時顯示。

錯誤訊息:無法從工作階段擷取用戶端憑證:<sessionId>

如果顯示此訊息:

  • 請檢查 X.509 憑證設定並判斷是否已設定

  • 如果已設定 X.509 憑證設定:請檢查用戶端瀏覽器上安裝的用戶端憑證,以查看是否由 [X.509 憑證] 設定中 [根憑證和中繼 CA 憑證] 欄位上傳的相同 CA 所核發。