Autoridad de validación

A continuación, se proporciona información para la resolución de problemas relacionados con la autoridad de validación. Para consultar consejos generales y buscar temas de resolución de problemas, consulte Solución de problemas de EJBCA .

Error de Autoridad de Validación en los registros al publicar

Problema

Recibo el mensaje de error "ERROR de autoridad de validación, la publicación no funciona" en los registros

Si se produce un error al publicar en la base de datos de VA, el Respondedor de VA/OCSP no estará sincronizado con la CA. En ese caso, es fundamental resincronizar las bases de datos.

En caso de falla al publicar en la base de datos VA, se muestra el siguiente mensaje de error en el registro del servidor en el servidor EJBCA:

 Validation Authority ERROR, publishing is not working

El mensaje de error va seguido de más detalles del error.

Se debe monitorear el registro para descubrir dicho error y, si se descubre, una alarma debe notificar y solicitar al operador que solucione el problema y luego sincronice la base de datos VA con la base de datos EJBCA.

Solución: Sincronizar manualmente la base de datos del VA

Al inicio y después de una falla en la publicación al respondedor VA, la base de datos maestra de los publicadores debe sincronizarse con la tabla CertificateData y CRLData de la base de datos de EJBCA.

Si solo usa OCSP y no el almacén de CRL, solo es necesario sincronizar la tabla CertificateData. Si hay un certificado desincronizado, puede volver a sincronizarlo seleccionando "Republicar" en la interfaz de administración.

Siga los pasos a continuación para sincronizar la base de datos EJBCA con la base de datos de una instancia de VA pura (por ejemplo, donde todos los certificados se emiten en otra instancia).

Tenga en cuenta que el siguiente procedimiento se aplica a MySQL y debe adaptarse a su entorno (base de datos, nombres de host, nombre de la base de datos y credenciales de la base de datos).

  1. Evite cualquier emisión adicional de nuevos certificados y la revocación de certificados antiguos hasta que finalice la sincronización, bloqueando el puerto a la GUI de administración.

  2. Para habilitar la sincronización, ejecute los siguientes comandos en el host de la CA. Ejecútelos en el equipo que responde OCSP (como usuario root en MySQL).

    mysql -u ejbca -p ocsp_db
    mysql> drop table CertificateData;
    mysql> drop table CRLData;

    Esto elimina y vuelve a crear las tablas que contienen la información del certificado y la CRL.
    Ejecute lo siguiente en el servidor CA:

    mysqldump -u ejbca -p --compress ejbca_db CertificateData > CertificateData.dat
    mysqldump -u ejbca -p --compress ejbca_db CRLData > CRLData.dat
    cat CertificateData.dat | mysql -h ocspresponder ocsp_db
    cat CRLData.dat | mysql -h ocspresponder ocsp_db

    imágenes/s/-2y7bau/8703/189cb2l/_/imagenes/iconos/emoticonos/advertencia.svg Generalmente esto no se puede hacer desde una máquina Windows a una máquina Linux, ya que Windows no distingue entre mayúsculas y minúsculas.

  3. Verifique que la publicación esté funcionando antes de permitir la emisión y revocación.