Noções básicas sobre ouvintes desabilitados

Os certificados SSL/TLS Gateway de Aplicativo do Azure ouvintes de Gateway de Aplicativo do Azure podem ser referenciados do recurso de Key Vault cliente. O gateway de aplicativo sempre deve ter acesso a esse recurso de cofre de chaves vinculado e seu objeto de certificado para garantir operações suaves do recurso de encerramento TLS e a saúde geral do recurso de gateway.

É importante considerar qualquer impacto no recurso do Gateway de Aplicativo ao fazer alterações ou revogar o acesso ao recurso do Key Vault. Caso o gateway de aplicativo não consiga acessar o cofre de chaves associado ou localizar o objeto de certificado nele, colocará automaticamente esse ouvinte em um estado desabilitado. A ação é disparada somente para erros de configuração. Qualquer configuração incorreta do cliente, como a exclusão/desabilitação de certificados ou a proibição do acesso ao gateway do aplicativo por meio do firewall ou das permissões do cofre de chaves, faz com que o ouvinte HTTPS baseado no cofre de chaves seja desabilitado. Problemas transitórios de conectividade não têm nenhum impacto sobre os ouvintes.

Um ouvinte desabilitado não afeta o tráfego de outros ouvintes operacionais no Gateway de Aplicativo. Por exemplo, os ouvintes HTTP ou HTTPS para os quais o arquivo de certificado PFX é carregado diretamente no recurso Gateway de Aplicativo nunca são desabilitados.

Verificação periódica e seu impacto sobre ouvintes

Entender o comportamento da verificação periódica do Gateway de Aplicativo e seu impacto potencial no estado de um ouvinte baseado em cofre de chaves pode ajudá-lo a preempção dessas ocorrências ou resolvê-las muito mais rapidamente.

Como funciona a verificação periódica?

1. As instâncias do Gateway de Aplicativo sondam periodicamente o recurso do cofre de chaves para obter uma nova versão de certificado.
2. Durante essa atividade, se as instâncias detectarem um acesso desfeito ao recurso do cofre de chaves ou a um objeto de certificado ausente, os ouvintes associados a esse cofre de chaves entrarão em um estado desabilitado. As instâncias são atualizadas com esse status desabilitado dos ouvintes dentro de 60 segundos para fornecer um comportamento consistente do plano de dados.
3. Depois que o problema é resolvido pelo cliente, a mesma sondagem periódica de quatro horas verifica o acesso ao objeto de certificado do cofre de chaves e reabilitar automaticamente os ouvintes em todas as instâncias desse gateway.

Maneiras de identificar um ouvinte desabilitado

1. Os clientes observarão o erro "ERR_SSL_UNRECOGNIZED_NAME_ALERT" se qualquer solicitação for feita a um ouvinte desabilitado do Gateway de Aplicativo.

2. Você pode verificar se o erro do cliente resulta de um ouvinte desabilitado no gateway verificando a página Resource Health do Gateway de Aplicativo, conforme mostrado na captura de tela.

Resolver erros do Key Vault

Você pode restringir a causa exata e encontrar etapas para resolver o problema visitando a Assistente do Azure em sua conta.

1. Entrar no portal do Azure
2. Selecionar Assistente
3. Selecione categoria Excelência operacional no menu à esquerda.
4. Encontre a recomendação intitulada Resolver problema no Azure Key Vault para o Gateway de Aplicativo (mostrada somente se o seu gateway estiver enfrentando esse problema). Verifique se a assinatura correta foi selecionada.
5. Selecione-a para exibir os detalhes do erro, o recurso do cofre de chaves associado e o Guia de solução de problemas para corrigir o problema exato.

Observação

Os ouvintes desabilitados serão habilitados automaticamente se o recurso do Gateway de Aplicativo detectar que o problema subjacente foi resolvido. Essa verificação ocorre a cada intervalo de quatro horas. Você pode agilizar isso executando qualquer alteração secundária no Gateway de Aplicativo (para Configuração de HTTP, Marcas de Recurso, etc.) que forçará uma verificação no Key Vault.

Próximas etapas

Solução de erros comuns do cofre de chaves no Gateway de Aplicativo do Azure