Fejlfinding ved TLS-problemer

Introduktion

Når du konfigurerer TLS for en GO-Global Application Host Manager – f.eks. en Relay Load Balancer eller Farm Manager – er det afgørende, at certifikatindstillingerne er ensartede på alle tilsluttede værter. De værtsnavne, der er angivet på applikationsværter, skal matche det fælles navn (CN), wildcard-domænet eller de alternative navne (SAN), der er angivet i TLS-certifikatet, for at sikre sikker kommunikation og vellykket registrering i administrationskonsollen. Denne vejledning beskriver de vigtigste krav til TLS-konfiguration, almindelige forbindelsesfejl og fejlfindingstrin til løsning af certifikat- og tillidsproblemer.

Overvejelser vedrørende Application Host Manager

Når en Application Host Manager (dvs. Relay Load Balancer eller Farm Manager) er konfigureret til at bruge TLS, skal det navn, der indtastes i feltet »Relay Load Balancer« eller »Farm Manager« på applikationsværterne, stemme overens med certifikatets Common Name, wildcard-domænet eller et af certifikatets Subject Alternative Names (SAN). Hvis de ikke stemmer overens, eller hvis der er et problem med certifikatet, vil Application Hosts ikke kunne oprette forbindelse til Application Host Manager, og de vil ikke blive vist under Application Host Manager i Admin Console.

Bemærk:
For oplysninger om brug af TLS-protokollen med Farms Hosts og Host Managers, se:

• Afslutning af TLS på GO-Global-værterne
  
• Gendannelse af Load Balancing Application Host Manager

Fejlfinding ved TLS-problemer mellem applikationsværter og applikationsværtsadministratorer

Hvis en applikationshost ikke vises under »Application Host Manager« i træstrukturen i administrationskonsollen, skal du kontrollere loggen for Application Publishing Service. Hvis den indeholder en meddelelse om, at certifikatet er ugyldigt, er der et problem med TLS-konfigurationen. Mulige årsager kan være:

• Det navn, der er indtastet i feltet »Relay Load Balancer« eller »Farm Manager« på applikationsværten, stemmer ikke overens med certifikatets »Common Name«, jokertegnsdomænet eller et af certifikatets alternative navne (SAN).
  
• Certifikatfilen i Application Host Manager indeholder ikke et eller flere sammenkædede mellemliggende certifikater.
  
• Certifikatet i Application Host Manager er ikke i PEM-format.
  
• Certifikatet på Application Host Manager betragtes ikke som pålideligt af Application Host (dvs. rodcertifikatet i certifikatets certifikatkæde er ikke medtaget på listen over pålidelige rodcertifikater på Application Host).
  
• Certifikatet er udløbet, eller systemdatoen er forkert.

Når man fejlsøger problemer som dette, kan det nogle gange være en hjælp at køre AppController på applikationsværten og forsøge at oprette forbindelse til Application Host Manager. Dette kan være nyttigt, fordi AppController giver yderligere oplysninger om TLS-fejl.

Sådan gør du:

Gå til mappen GO-Global\Programs på applikationsværten, og dobbeltklik på AppController.exe.

Indtast adressen på Application Host Manager i dialogboksen »Forbindelse «. Indtast adressen nøjagtigt som den er angivet i feltet »Relay Load Balancer « eller »Farm Manager« i dialogboksen »Værtsindstillinger« på Application Host.

Klik på »Forbind«.

Hvis der vises en TLS-advarsel, vil dialogboksen beskrive problemet. Hvis der f.eks. står, at certifikatet stammer fra en organisation, som du ikke har valgt at stole på, skyldes problemet sandsynligvis, at et mellemliggende certifikat mangler. Det kan også betyde, at certifikatets certifikatkæde ikke er medtaget på listen over betroede rodcertifikater på applikationsværten.

Meddelelsen nedenfor viser tre på hinanden følgende advarsler, som beskrevet ovenfor.

I dette eksempel blev følgende problemer identificeret:

• Certifikatet på Application Host Manager betragtes ikke som pålideligt af Application Host (dvs. rodcertifikatet i certifikatets certifikatkæde er ikke medtaget på listen over pålidelige rodcertifikater på Application Host).
• Certifikatet er udløbet, eller systemdatoen er forkert.
  
• Det navn, der er indtastet i feltet »Relay Load Balancer« eller »Farm Manager« på applikationsværten, stemmer ikke overens med certifikatets »Common Name«, jokertegnsdomænet eller et af certifikatets alternative navne (SAN).

Hvis der ikke vises en TLS-advarselsdialog, men der i stedet vises en anden fejlmeddelelse (f.eks. »Ingen tilgængelige værter«), er TLS-konfigurationen sandsynligvis ikke årsagen til problemet. I forbindelse med denne test kan du se bort fra alle fejlmeddelelser, der ikke vedrører klientens evne til at oprette en forbindelse til Application Host Manager.

Konklusion

Det er afgørende at sikre en korrekt TLS-konfiguration mellem applikationsværter og applikationsværtsadministratorer for at opretholde sikre og stabile forbindelser i et GO-Global-miljø. Ved at kontrollere certifikaters gyldighed, format og tillidsindstillinger kan administratorer hurtigt identificere og løse forbindelsesproblemer. I tvivlstilfælde kan værktøjer som AppController levere detaljerede TLS-diagnostikresultater, der hjælper med at finde frem til problemer såsom udløbne certifikater eller domæner, der ikke stemmer overens. Med korrekt opsætning og verifikation forbliver GO-Global-miljøer både sikre og pålidelige.

Er du en ISV, der udforsker cloud-baseret applikationslevering? Kontakt os for at høre, hvordan GO-Global kan hjælpe dig med at strømline adgangen til software for dine slutbrugere. Eller download en gratis prøveversion for at teste det selv.