Problemen met TLS oplossen

Inleiding

Bij het configureren van TLS voor een GO-Global Application Host Manager – zoals een Relay Load Balancer of Farm Manager – is het essentieel dat de certificaatinstellingen op alle aangesloten hosts correct op elkaar zijn afgestemd. De hostnamen die zijn opgegeven op Application Hosts moeten overeenkomen met de Common Name (CN), het wildcard-domein of de Subject Alternative Names (SAN) die in het TLS-certificaat staan vermeld, om veilige communicatie en een succesvolle registratie in de Admin Console te garanderen. Deze handleiding beschrijft de belangrijkste vereisten voor de TLS-configuratie, veelvoorkomende verbindingsfouten en stappen voor het oplossen van problemen met certificaten en vertrouwensrelaties.

Overwegingen met betrekking tot Application Host Manager

Wanneer een Application Host Manager (d.w.z. Relay Load Balancer of Farm Manager) is geconfigureerd voor het gebruik van TLS, moet de naam die is ingevoerd in het veld „Relay Load Balancer“ of „Farm Manager“ bij de Application Hosts overeenkomen met de Common Name, het wildcard-domein of een van de Subject Alternative Names (SAN) van het certificaat. Als ze niet overeenkomen, of als er een probleem is met het certificaat, zullen de Application Hosts geen verbinding kunnen maken met de Application Host Manager en zullen ze niet verschijnen onder de Application Host Manager in de Admin Console.

Opmerking:
Voor informatie over het gebruik van het TLS-protocol met Farms Hosts en Host Managers, zie:

• TLS beëindigen op de GO-Global-hosts
  
• Load balancing, herstel van de applicatiehostmanager

Problemen met TLS tussen applicatiehosts en applicatiehostbeheerders oplossen

Als een applicatiehost niet wordt weergegeven onder de Application Host Manager in de boomstructuur van de beheerconsole, controleer dan het logboek van de Application Publishing Service. Als daarin een melding staat dat het certificaat ongeldig is, is er een probleem met de TLS-configuratie. Mogelijke oorzaken zijn onder meer:

• De naam die is ingevoerd in het veld „Relay Load Balancer“ of „Farm Manager“ op de applicatiehost komt niet overeen met de algemene naam, het domein met jokertekens of een van de alternatieve namen van de certificaathouder (SAN) van het certificaat.
  
• Het certificaatbestand op de Application Host Manager bevat geen gekoppelde tussenliggende certificaten.
  
• Het certificaat op de Application Host Manager is niet in PEM-formaat.
  
• Het certificaat op de Application Host Manager wordt niet vertrouwd door de Application Host (d.w.z. het basiscertificaat in de certificaatketen van het certificaat staat niet in de lijst met vertrouwde basiscertificaten op de Application Host).
  
• Het certificaat is verlopen of de systeemdatum is onjuist.

Bij het oplossen van dit soort problemen kan het soms nuttig zijn om AppController op de Application Host uit te voeren en verbinding te maken met de Application Host Manager. Dit kan nuttig zijn omdat AppController aanvullende informatie over TLS-fouten biedt.

Ga als volgt te werk:

Ga naar de map GO-Global\Programs op de applicatiehost en dubbelklik op AppController.exe.

Voer het adres van de Application Host Manager in het dialoogvenster „Verbinding“ in. Voer het adres precies zo in als het is opgegeven in het veld „Relay Load Balancer“ of „Farm Manager“ van het dialoogvenster „Hostopties“ op de Application Host.

Klik op 'Verbinden'.

Als er een TLS-waarschuwing wordt weergegeven, wordt het probleem in het dialoogvenster beschreven. Als er bijvoorbeeld staat dat het certificaat afkomstig is van een organisatie die u niet als vertrouwd hebt aangemerkt, is het probleem hoogstwaarschijnlijk dat er geen tussencertificaat is toegevoegd. Het kan ook betekenen dat de certificaatketen van het certificaat niet is opgenomen in de lijst met vertrouwde basiscertificaten op de applicatiehost.

Het onderstaande bericht toont drie opeenvolgende waarschuwingen, zoals hierboven beschreven.

In dit voorbeeld werden de volgende problemen vastgesteld:

• Het certificaat op de Application Host Manager wordt niet vertrouwd door de Application Host (d.w.z. het basiscertificaat in de certificaatketen van het certificaat staat niet in de lijst met vertrouwde basiscertificaten op de Application Host).
• Het certificaat is verlopen of de systeemdatum is onjuist.
  
• De naam die is ingevoerd in het veld „Relay Load Balancer“ of „Farm Manager“ op de applicatiehost komt niet overeen met de algemene naam, het domein met jokertekens of een van de alternatieve namen van de certificaathouder (SAN) van het certificaat.

Als er geen TLS-waarschuwingsvenster verschijnt, maar wel een andere foutmelding (bijvoorbeeld: Geen beschikbare hosts), ligt het probleem waarschijnlijk niet bij de TLS-configuratie. Voor deze test kunt u foutmeldingen negeren die geen betrekking hebben op het vermogen van de client om een verbinding met de Application Host Manager tot stand te brengen.

Conclusie

Het waarborgen van een correcte TLS-configuratie tussen applicatiehosts en applicatiehostmanagers is van cruciaal belang voor het handhaven van veilige, stabiele verbindingen binnen een GO-Global-omgeving. Door de juistheid, het formaat en de vertrouwensinstellingen van certificaten te controleren, kunnen beheerders verbindingsproblemen snel opsporen en oplossen. Bij twijfel kunnen tools zoals AppController gedetailleerde TLS-diagnostiek bieden, waardoor problemen zoals verlopen certificaten of niet-overeenkomende domeinen nauwkeurig kunnen worden opgespoord. Met een correcte configuratie en controle blijven GO-Global-omgevingen zowel veilig als betrouwbaar.

Bent u een ISV die de levering van toepassingen in de cloud onderzoekt? Neem contact met ons op om te ontdekken hoe GO-Global u kan helpen de toegang tot software voor uw eindgebruikers te stroomlijnen. Of download een gratis proefversie om het zelf te testen.