TLSに関する問題のトラブルシューティング
はじめに
Relay Load Balancer や Farm Manager などの GO-Global Application Host Manager で TLS を設定する際は、接続されているすべてのホストで証明書の設定が適切に統一されていることが不可欠です。 アプリケーションホストで指定されたホスト名は、安全な通信を確保し、管理コンソールへの登録を正常に行うために、TLS証明書に記載されている共通名(CN)、ワイルドカードドメイン、またはサブジェクト別名(SAN)と一致している必要があります。このガイドでは、TLS設定の主な要件、よくある接続エラー、および証明書や信頼に関する問題を解決するためのトラブルシューティング手順について説明します。
アプリケーション・ホスト・マネージャーに関する留意点
アプリケーションホストマネージャー(Relay Load Balancer または Farm Manager)が TLS を使用するように構成されている場合、アプリケーションホストの「Relay Load Balancer」または「Farm Manager」フィールドに入力された名前は、証明書の「Common Name(共通名)」、「ワイルドカードドメイン」、または「Subject Alternative Names(SAN)」のいずれかと一致している必要があります。 これらが一致しない場合、または証明書に問題がある場合、アプリケーションホストはアプリケーションホストマネージャーへの接続に失敗し、管理コンソールのアプリケーションホストマネージャーの下に表示されなくなります。
注:
Farms Hosts および Host Managers での TLS プロトコルの使用方法については、以下を参照してください:
アプリケーションホストとアプリケーションホストマネージャ間のTLSに関する問題のトラブルシューティング
管理コンソールのツリービューで、「アプリケーションホストマネージャー」の下にアプリケーションホストが表示されない場合は、アプリケーション公開サービスのログを確認してください。ログに証明書が無効であるというメッセージが含まれている場合、TLSの設定に問題があります。考えられる原因としては、以下のものが挙げられます:
- アプリケーションホストの「リレーロードバランサー」または「ファームマネージャー」フィールド に入力された名前が、証明書のコモンネーム、ワイルドカードドメイン、またはサブジェクト別名(SAN)のいずれとも一致しません。
- Application Host Manager上の証明書ファイルには、1つ以上の中間証明書が連結されていません。
- Application Host Manager上の証明書はPEM形式ではありません。
- Application Host Manager上の証明書が、Application Hostによって信頼されていません(つまり、その証明書の証明書チェーンに含まれるルート証明書が、Application Hostの「信頼されたルート証明書」リストに含まれていません)。
- 証明書の有効期限が切れているか、システムの日付が正しくない。
このような問題のトラブルシューティングを行う際、アプリケーションホスト上でAppControllerを実行し、アプリケーションホストマネージャーへの接続を試みると役立つ場合があります。AppControllerはTLSエラーに関する追加情報を提供するため、これが役立つことがあります。
これを行うには:
アプリケーションホスト上の「GO-Global\Programs」ディレクトリに移動し、「AppController.exe」をダブルクリックします。
「接続」ダイアログに、アプリケーション・ホスト・マネージャーのアドレスを入力します。アドレスは、アプリケーション・ホストの「ホスト・オプション」ダイアログにある「リレー・ロードバランサー」または「ファーム・マネージャー」フィールドに指定されているとおりに正確に入力してください。
「接続」をクリックしてください。
TLSの警告メッセージが表示された場合、ダイアログに問題の詳細が表示されます。たとえば、「信頼するよう選択していない組織からの証明書です」というメッセージが表示された場合、中間証明書が連結されていないことが原因である可能性が高いです。あるいは、その証明書の証明書チェーンが、アプリケーションホストの「信頼されたルート証明書」リストに含まれていないことを意味している場合もあります。
以下のメッセージは、前述の通り、3つの連続した警告を示しています。
この例では、以下の問題が特定されました:
- Application Host Manager上の証明書が、Application Hostによって信頼されていません(つまり、その証明書の証明書チェーンに含まれるルート証明書が、Application Hostの「信頼されたルート証明書」リストに含まれていません)。
- 証明書の有効期限が切れているか、システムの日付が正しくない。
- アプリケーションホストの「リレーロードバランサー」または「ファームマネージャー」フィールド に入力された名前が、証明書の共通名、ワイルドカードドメイン、またはサブジェクト別名(SAN)のいずれとも一致しません。
TLSに関する警告ダイアログが表示されず、別のエラーメッセージ(例:「利用可能なホストがありません」など)が表示される場合は、TLSの設定に問題はないと考えられます。このテストにおいては、クライアントがApplication Host Managerへの接続を確立できるかどうかに関係のないエラーメッセージは無視して構いません。
結論
アプリケーションホストとアプリケーションホストマネージャー間の適切なTLS設定を確保することは、GO-Global環境内で安全かつ安定した接続を維持するために不可欠です。証明書の正確性、形式、および信頼設定を確認することで、管理者は接続の問題を迅速に特定し、解決することができます。不明な点がある場合は、AppControllerなどのツールを使用して詳細なTLS診断を行うことで、有効期限が切れた証明書やドメインの不一致といった問題を特定するのに役立ちます。適切な設定と検証を行うことで、GO-Global環境は安全性と信頼性を維持することができます。
クラウドベースのアプリケーション配信を検討中のISVですか?GO-Globalがお客様のエンドユーザーのソフトウェアアクセスを合理化するためにどのようなお手伝いができるかについては、当社までお問い合わせください。または、無料トライアルをダウンロードしてご自身でお試しください。
