Resolução de problemas relacionados ao TLS

Introdução

Ao configurar o TLS para um Gerenciador de Hosts de Aplicativos GO-Global — como um Balanceador de Carga de Retransmissão ou um Gerenciador de Farm —, é essencial que as configurações de certificado estejam corretamente alinhadas em todos os hosts conectados. Os nomes de host especificados nos Application Hosts devem corresponder ao Nome Comum (CN), ao domínio curinga ou aos Nomes Alternativos do Assunto (SAN) listados no certificado TLS para garantir uma comunicação segura e o registro bem-sucedido no Admin Console. Este guia descreve os principais requisitos de configuração do TLS, erros comuns de conexão e etapas de solução de problemas para resolver questões relacionadas a certificados e confiança.

Considerações sobre o Application Host Manager

Quando um Gerenciador de Hosts de Aplicativos (ou seja, o Balanceador de Carga de Retransmissão ou o Gerenciador de Farm) é configurado para usar TLS, o nome inserido no campo “Balanceador de Carga de Retransmissão” ou “Gerenciador de Farm” nos Hosts de Aplicativos deve corresponder ao Nome Comum, ao domínio curinga ou a um dos Nomes Alternativos do Assunto (SAN) do certificado. Se não corresponderem, ou se houver um problema com o certificado, os Hosts de Aplicativos não conseguirão se conectar ao Gerenciador de Hosts de Aplicativos e não aparecerão sob o Gerenciador de Hosts de Aplicativos no Console de Administração.

Nota:
Para obter informações sobre como usar o protocolo TLS com hosts de farmas e gerenciadores de hosts, consulte:

• Encerramento da conexão TLS nos servidores GO-Global
  
• Recuperação do Gerenciador de Hosts de Aplicativos com Balanceamento de Carga

Solução de problemas de TLS entre hosts de aplicativos e gerenciadores de hosts de aplicativos

Quando um Host de Aplicativo não aparecer na seção “Gerenciador de Hosts de Aplicativos” na visualização em árvore do Console de Administração, verifique o log do Serviço de Publicação de Aplicativos. Se houver uma mensagem indicando que o certificado é inválido, existe um problema de configuração TLS. As possíveis causas incluem:

• O nome inserido no campo “Relay Load Balancer” ou “Farm Manager” no “Application Host” não corresponde ao nome comum, ao domínio com caracteres curinga ou a um dos nomes alternativos do sujeito (SAN) do certificado.
  
• O arquivo de certificado no Application Host Manager não possui um ou mais certificados intermediários concatenados.
  
• O certificado no Application Host Manager não está no formato PEM.
  
• O certificado no Application Host Manager não é considerado confiável pelo Application Host (ou seja, o certificado raiz na cadeia de certificados do certificado não está incluído na lista de Certificados Raiz Confiáveis no Application Host).
  
• O certificado está vencido ou a data do sistema está incorreta.

Ao resolver problemas como esse, às vezes é útil executar o AppController no Host da Aplicação e tentar se conectar ao Gerenciador do Host da Aplicação. Isso pode ser útil porque o AppController fornece informações adicionais sobre erros de TLS.

Para fazer isso:

Acesse o diretório GO-Global\Programs no servidor de aplicativos e clique duas vezes em AppController.exe.

Digite o endereço do Application Host Manager na caixa de diálogo Conexão. Digite o endereço exatamente como está especificado no campo Relay Load Balancer ou Farm Manager da caixa de diálogo Opções do Host no Application Host.

Clique em Conectar.

Se for exibida uma mensagem de aviso TLS, a caixa de diálogo descreverá o problema. Por exemplo, se for indicado que o certificado é de uma organização na qual você não optou por confiar, o problema provavelmente é que um certificado intermediário não está concatenado. Alternativamente, isso pode significar que a cadeia de certificados do certificado não está incluída na lista de Certificados Raiz Confiáveis no Host do Aplicativo.

A mensagem abaixo ilustra três avisos sequenciais, conforme descrito acima.

Neste exemplo, foram identificadas as seguintes questões:

• O certificado no Application Host Manager não é considerado confiável pelo Application Host (ou seja, o certificado raiz na cadeia de certificados do certificado não está incluído na lista de Certificados Raiz Confiáveis no Application Host).
• O certificado está vencido ou a data do sistema está incorreta.
  
• O nome inserido no campo “Relay Load Balancer” ou “Farm Manager” no “Application Host” não corresponde ao nome comum, ao domínio com caracteres curinga ou a um dos nomes alternativos do sujeito (SAN) do certificado.

Se nenhuma caixa de diálogo de aviso de TLS for exibida, mas for exibida uma mensagem de erro diferente (por exemplo, “Nenhum host disponível”), é provável que a configuração de TLS não seja o problema. Para os fins deste teste, você pode ignorar quaisquer mensagens de erro que não estejam relacionadas à capacidade do cliente de estabelecer uma conexão com o Application Host Manager.

Conclusão

Garantir a configuração adequada do TLS entre os hosts de aplicativos e os gerenciadores de hosts de aplicativos é fundamental para manter conexões seguras e estáveis em um ambiente GO-Global. Ao verificar a validade, o formato e as configurações de confiança dos certificados, os administradores podem identificar e resolver rapidamente problemas de conectividade. Em caso de dúvida, ferramentas como o AppController podem fornecer diagnósticos detalhados do TLS, ajudando a identificar problemas como certificados vencidos ou domínios incompatíveis. Com a configuração e verificação corretas, os ambientes GO-Global permanecem seguros e confiáveis.

Você é um ISV que está explorando o fornecimento de aplicativos baseados em nuvem? Entre em contato conosco para saber como a GO-Global pode ajudá-lo a simplificar o acesso ao software para seus usuários finais. Ou faça o download de uma avaliação gratuita para testá-la você mesmo.