Informazioni sui listener disabilitati
È possibile fare riferimento ai certificati SSL/TLS per i listener del gateway applicazione di Azure dalla risorsa Key Vault di un cliente. Il gateway applicazione deve sempre avere accesso a tale risorsa dell'insieme di credenziali delle chiavi collegato e al relativo oggetto certificato per garantire operazioni uniformi della funzionalità di terminazione TLS e l'integrità complessiva della risorsa del gateway.
È importante prendere in considerazione qualsiasi impatto sulla risorsa del gateway applicazione quando si apportano modifiche o si revoca l'accesso alla risorsa di Key Vault. Nel caso in cui il gateway applicazione non sia in grado di accedere all'insieme di credenziali delle chiavi associato o di individuare il relativo oggetto certificato, il listener verrà automaticamente inserito in uno stato disabilitato. L'azione viene attivata solo per gli errori di configurazione. Eventuali configurazioni errate dei clienti, ad esempio l'eliminazione o la disabilitazione dei certificati o il divieto dell'accesso del gateway applicazione tramite il firewall o le autorizzazioni dell'insieme di credenziali delle chiavi, causano la disabilitazione del listener HTTPS basato sull'insieme di credenziali delle chiavi. I problemi di connettività temporanei non hanno alcun impatto sui listener.
Un listener disabilitato non influisce sul traffico per altri listener operativi nel gateway applicazione. Ad esempio, i listener HTTP o i listener HTTPS per i quali il file di certificato PFX viene caricato direttamente nella risorsa del gateway applicazione non vengono mai disabilitati.
Controllo periodico e impatto sui listener
Comprendere il comportamento del controllo periodico del gateway applicazione e il potenziale impatto sullo stato di un listener basato sull'insieme di credenziali delle chiavi può aiutare a prevenire tali occorrenze o risolverle molto più velocemente.
Come funziona il controllo periodico?
- Le istanze del gateway applicazione eseguono periodicamente il polling della risorsa dell'insieme di credenziali delle chiavi per ottenere una nuova versione del certificato.
- Durante questa attività, se le istanze rilevano invece un accesso interrotto alla risorsa dell'insieme di credenziali delle chiavi o a un oggetto certificato mancante, i listener associati a tale insieme di credenziali delle chiavi passeranno in uno stato disabilitato. Le istanze vengono aggiornate con questo stato disabilitato dei listener entro 60 secondi per fornire un comportamento coerente del piano dati.
- Dopo che il problema è stato risolto dal cliente, lo stesso poll periodico di quattro ore verifica l'accesso all'oggetto certificato dell'insieme di credenziali delle chiavi e abilita automaticamente i listener in tutte le istanze del gateway.
Modi per identificare un listener disabilitato
- I client osserveranno l'errore "ERR_SSL_UNRECOGNIZED_NAME_ALERT" se viene effettuata una richiesta a un listener disabilitato del gateway applicazione.
- È possibile verificare se l'errore del client viene restituito da un listener disabilitato nel gateway controllando la pagina Integrità risorse del gateway applicazione, come illustrato nello screenshot.
Risoluzione degli errori di configurazione di Key Vault
È possibile individuare la causa esatta e trovare i passaggi per risolvere il problema visitando la raccomandazione di Azure Advisor nell'account.
- Accedere al portale di Azure
- Selezionare Advisor
- Selezionare la categoria Operational Excellence (Eccellenza operativa) nel menu a sinistra.
- Trovare la raccomandazione intitolata Risolvere il problema di Azure Key Vault per il gateway applicazione (visualizzato solo se il gateway riscontra questo problema). Verificare che sia selezionata la sottoscrizione corretta.
- Selezionarla per visualizzare i dettagli dell'errore e la risorsa dell'insieme di credenziali delle chiavi associata insieme alla guida alla risoluzione dei problemi per risolvere il problema esatto.
Nota
I listener disabilitati vengono abilitati automaticamente se la risorsa del gateway applicazione rileva che il problema sottostante viene risolto. Questo controllo viene eseguito ogni quattro ore. È possibile accelerare l'operazione eseguendo qualsiasi modifica secondaria al gateway applicazione (per impostazione HTTP, tag di risorse e così via) che forza un controllo sull'insieme di credenziali delle chiavi.
Passaggi successivi
Risoluzione degli errori dell'insieme di credenziali delle chiavi nel gateway applicazione di Azure