Felsökning av TLS-problem

Inledning

När du konfigurerar TLS för en GO-Global Application Host Manager – till exempel en Relay Load Balancer eller Farm Manager – är det viktigt att certifikatinställningarna är korrekt synkroniserade på alla anslutna värdar. Värdnamnen som anges på applikationsvärdar måste matcha det vanliga namnet (CN), jokerteckendomänen eller alternativa ämnesnamn (SAN) som anges i TLS-certifikatet för att säkerställa säker kommunikation och lyckad registrering i administratörskonsolen. Den här guiden beskriver viktiga krav för TLS-konfiguration, vanliga anslutningsfel och felsökningssteg för att lösa certifikat- och förtroendeproblem.

Överväganden kring Application Host Manager

När en Application Host Manager (dvs. Relay Load Balancer eller Farm Manager) är konfigurerad för att använda TLS måste det namn som anges i fältet för Relay Load Balancer eller Farm Manager på applikationsvärdarna stämma överens med certifikatets Common Name, jokerdomänen eller något av certifikatets Subject Alternative Names (SAN). Om de inte stämmer överens, eller om det finns ett problem med certifikatet, kommer Application Hosts inte att kunna ansluta till Application Host Manager, och de kommer inte att visas under Application Host Manager i Admin Console.

Obs!
För information om hur man använder TLS-protokollet med Farms Hosts och Host Managers, se:

• Avsluta TLS på GO-Global-värdarna
  
• Lastbalansering – Återställning av Application Host Manager

Felsökning av TLS-problem mellan applikationsvärdar och applikationsvärdshanterare

Om en applikationsvärd inte visas under ”Application Host Manager” i trädvyn i administratörskonsolen ska du kontrollera loggen för Application Publishing Service. Om den innehåller ett meddelande om att certifikatet är ogiltigt föreligger ett problem med TLS-konfigurationen. Möjliga orsaker är bland annat:

• Det namn som angetts i fältet ”Relay Load Balancer” eller ”Farm Manager” på applikationsvärden stämmer inte överens med certifikatets allmänna namn, jokerdomänen eller något av certifikatets alternativa ämnesnamn (SAN).
  
• Certifikatfilen i Application Host Manager innehåller inte ett eller flera sammanlänkade mellanliggande certifikat.
  
• Certifikatet i Application Host Manager är inte i PEM-format.
  
• Certifikatet på Application Host Manager betraktas inte som betrott av Application Host (dvs. rotcertifikatet i certifikatets certifikatkedja ingår inte i listan över betrodda rotcertifikat på Application Host).
  
• Certifikatet har gått ut eller så är systemdatumet felaktigt.

När man felsöker problem av det här slaget kan det ibland vara bra att köra AppController på applikationsvärden och försöka ansluta till Application Host Manager. Detta kan vara till hjälp eftersom AppController ger ytterligare information om TLS-fel.

Gör så här:

Gå till katalogen GO-Global\Programs på applikationsvärden och dubbelklicka på AppController.exe.

Ange adressen till Application Host Manager i dialogrutan Anslutning. Ange adressen exakt så som den anges i fältet Relay Load Balancer eller Farm Manager i dialogrutan Värdalternativ på Application Host.

Klicka på Anslut.

Om ett TLS-varningsmeddelande visas beskriver dialogrutan problemet. Om det till exempel står att certifikatet kommer från en organisation som du inte har valt att lita på är problemet troligen att ett mellanliggande certifikat saknas i kedjan. Det kan också betyda att certifikatets certifikatkedja inte ingår i listan över betrodda rotcertifikat på applikationsvärden.

Meddelandet nedan visar tre varningar i följd, enligt beskrivningen ovan.

I det här exemplet identifierades följande problem:

• Certifikatet på Application Host Manager betraktas inte som betrott av Application Host (dvs. rotcertifikatet i certifikatets certifikatkedja ingår inte i listan över betrodda rotcertifikat på Application Host).
• Certifikatet har gått ut eller så är systemdatumet felaktigt.
  
• Det namn som angetts i fältet ”Relay Load Balancer” eller ”Farm Manager” på applikationsvärden stämmer inte överens med certifikatets allmänna namn, jokerteckendomänen eller något av certifikatets alternativa ämnesnamn (SAN).

Om ingen varningsdialogruta för TLS visas, utan istället ett annat felmeddelande (t.ex. ”Inga tillgängliga värdar”), är det troligtvis inte TLS-konfigurationen som är problemet. I detta test kan du bortse från alla felmeddelanden som inte rör klientens förmåga att upprätta en anslutning till Application Host Manager.

Slutsats

Att säkerställa korrekt TLS-konfiguration mellan applikationsvärdar och applikationsvärdshanterare är avgörande för att upprätthålla säkra och stabila anslutningar i en GO-Global-miljö. Genom att kontrollera certifikatens giltighet, format och tillitsinställningar kan administratörer snabbt identifiera och lösa anslutningsproblem. Vid tveksamheter kan verktyg som AppController tillhandahålla detaljerad TLS-diagnostik, vilket hjälper till att lokalisera problem såsom utgångna certifikat eller domäner som inte stämmer överens. Med korrekt konfiguration och verifiering förblir GO-Global-miljöer både säkra och tillförlitliga.

Är du en ISV som utforskar molnbaserad applikationsleverans? Kontakta oss för att få veta hur GO-Global kan hjälpa dig att effektivisera programvarutillgången för dina slutanvändare. Eller ladda ner en gratis testversion för att testa själv.