了解停用的接聽程式
可以從客戶的 Key Vault 資源參考 Azure 應用程式閘道接聽程式的 SSL/TLS 憑證。 您的應用程式閘道必須一律能夠存取這類連結的 Key Vault 資源及其憑證物件,以確保 TLS 終止功能可順暢作業,以及閘道資源的整體健康情況。
進行變更或撤銷金鑰保存庫資源的存取權時,請務必考慮對應用程式網路閘道資源的任何影響。 如果應用程式閘道無法存取相關聯的 Key Vault,或找不到其憑證物件,則會自動將該接聽程式置於停用狀態。 動作只會針對設定錯誤觸發。 任何客戶設定錯誤,例如刪除/停用憑證,或禁止應用程式網路閘道透過金鑰保存庫的防火牆或權限存取,會導致金鑰保存庫型 HTTPS 接聽程式停用。 暫時性連線問題不會影響接聽程式。
停用的接聽程式不會影響應用程式閘道上其他作業接聽程式的流量。 例如,永遠不會停用應用程式網路閘道資源上直接上傳 PFX 憑證檔案的 HTTP 接聽程式或 HTTPS 接聽程式。
定期檢查其對接聽程式的影響
了解應用程式閘道定期檢查的行為,以及其對 Key Vault 型接聽程式狀態的潛在影響,可協助您先占這類項目或更快速解決。
定期檢查如何運作?
- 應用程式閘道執行個體會定期輪詢 Key Vault 資源,以取得新的憑證版本。
- 在此活動期間,如果執行個體偵測到 Key Vault 資源或遺失憑證物件的存取中斷,則與該 Key Vault 相關聯的接聽程式會處於已停用狀態。 執行個體會在 60 秒內更新接聽程式的此停用狀態,以提供一致的資料平面行為。
- 客戶解決此問題之後,相同的四小時定期輪詢會驗證 Key Vault 憑證物件的存取權,並自動在該閘道的所有執行個體上重新啟用接聽程式。
識別已停用接聽程式的方法
- 如果對應用程式閘道停用的接聽程式提出任何要求,用戶端將會觀察到錯誤 "ERR_SSL_UNRECOGNIZED_NAME_ALERT"。
- 您可以檢查應用程式閘道的資源健全狀態頁面,確認用戶端錯誤是否從閘道上已停用的接聽程式產生,如螢幕擷取畫面所示。
解決 Azure Key Vault 設定錯誤
您可以瀏覽您帳戶中的 Azure Advisor 建議,以縮小到確切的原因,並找出解決問題的步驟。
- 登入 Azure 入口網站
- 選取 [Advisor]
- 從左側功能表中選取 [營運卓越] 類別。
- 尋找標題為解決應用程式閘道的 Azure Key Vault 問題的建議 (只有在閘道遇到此問題時才顯示)。 確定已選取正確的訂用帳戶。
- 選取以檢視錯誤詳細資料和相關聯的 Key Vault 資源以及疑難排解指南,以修正確切的問題。
注意
如果應用程式閘道資源偵測到基礎問題已解決,系統會自動啟用停用的接聽程式。 此檢查會每隔四小時發生一次。 您可以對應用程式閘道執行將對 Key Vault 進行強制檢查的任何次要變更 (針對 HTTP 設定、資源標籤等),以加速此檢查。