Comprender los agentes de escucha deshabilitados

Se puede hacer referencia a los certificados SSL/TLS de Azure Application Gateway desde el recurso de Key Vault de un cliente. La puerta de enlace de aplicación siempre debe tener acceso a este recurso vinculado del almacén de claves y a su objeto de certificado para garantizar un funcionamiento sin problemas de la característica de terminación TLS y el estado general del recurso de puerta de enlace.

Es importante tener en cuenta cualquier impacto en el recurso de Application Gateway al realizar cambios o revocar el acceso al recurso de Key Vault. En caso de que la puerta de enlace de aplicaciones no pueda acceder al almacén de claves asociado o localizar su objeto de certificado en él, colocará automáticamente ese cliente de escucha en un estado deshabilitado. La acción solo se desencadena para errores de configuración. Las configuraciones incorrectas de los clientes, como la eliminación o deshabilitación de certificados, o la prohibición del acceso de la puerta de enlace de aplicaciones a través del firewall o los permisos del almacén de claves hacen que el agente de escucha HTTPS basado en el almacén de claves se deshabilite. Los problemas de conectividad transitorios no tienen ningún impacto en los agentes de escucha.

Un agente de escucha deshabilitado no afecta al tráfico de otros agentes de escucha operativos en Application Gateway. Por ejemplo, los agentes de escucha HTTP o los agentes de escucha HTTPS para los que el archivo de certificado PFX se carga directamente en el recurso de Application Gateway nunca están deshabilitados.

Comprobación periódica y su efecto en los agentes de escucha

Comprender el comportamiento de la comprobación periódica de Application Gateway y su posible efecto en el estado de un agente de escucha basado en el almacén de claves podría ayudarle a prevenir tales repeticiones o resolverlas mucho más rápido.

¿Cómo funciona la comprobación periódica?

1. Las instancias de Application Gateway sondean periódicamente el recurso del almacén de claves para obtener una nueva versión del certificado.
2. Durante esta actividad, si las instancias detectan en su lugar un acceso roto al recurso del almacén de claves o falta un objeto de certificado, los agentes de escucha asociados a ese almacén de claves pasarán a un estado deshabilitado. Las instancias se actualizan con este estado deshabilitado de los agentes de escucha en un plazo de 60 segundos para proporcionar un comportamiento coherente del plano de datos.
3. Una vez que el cliente ha resuelto el problema, el mismo sondeo periódico de cuatro horas comprueba el acceso al objeto de certificado del almacén de claves y vuelve a habilitar automáticamente los agentes de escucha en todas las instancias de esa puerta de enlace.

Formas de identificar un agente de escucha deshabilitado

1. Los clientes observarán el error "ERR_SSL_UNRECOGNIZED_NAME_ALERT" si se realiza alguna solicitud a un agente de escucha deshabilitado de Application Gateway.

2. Puede comprobar si el error del cliente se produce desde un agente de escucha deshabilitado en la puerta de enlace comprobando la página de Resource Health de Application Gateway, como se muestra en la captura de pantalla.

Resolución de errores de configuración de Key Vault

Para restringir la causa exacta y buscar los pasos para resolver el problema, visite la recomendación de Azure Advisor en la cuenta.

1. Inicie sesión en Azure Portal
2. Seleccione Advisor
3. Seleccione la categoría Excelencia operativa en el menú de la izquierda.
4. Busque la recomendación titulada Resolución del problema de Azure Key Vault para Application Gateway (que solo se muestra si la puerta de enlace está experimentando este problema). Asegúrese de que está seleccionada la suscripción correcta.
5. Selecciónela para ver los detalles del error y el recurso del almacén de claves asociado junto con la guía de solución de problemas para corregir el problema exacto.

Nota:

Los agentes de escucha deshabilitados se habilitan automáticamente si el recurso de Application Gateway detecta que se ha resuelto el problema subyacente. Esta comprobación se produce cada intervalo de cuatro horas. Para acelerarlo, realice cualquier cambio menor en Application Gateway (en la configuración de HTTP, las etiquetas de recursos, etc.) para forzar una comprobación en Key Vault.

Pasos siguientes

Solución de problemas del almacén de claves en Azure Application Gateway