無効にされたリスナーについて

Azure Application Gateway のリスナー用の SSL/TLS 証明書は、お客様の Key Vault リソースから参照できます。 TLS 終端機能が円滑に動作し、ゲートウェイ リソースの全体的な正常性が保たれるようにするには、アプリケーション ゲートウェイが常に、そのようなリンクされた Key Vault リソースとその証明書オブジェクトにアクセスできる必要があります。

Key Vault リソースの変更やアクセス権の取り消しを行うときには、Application Gateway リソースへの影響を考慮することが重要です。 アプリケーション ゲートウェイが関連付けられたキー コンテナーにアクセスできない場合、またはその中の証明書オブジェクトを見つけられない場合、そのリスナーは自動的に無効な状態になります。 このアクションは、構成エラーに対してのみトリガーされます。 証明書の削除/無効化、キー コンテナーのファイアウォールまたはアクセス許可による Application Gateway のアクセスの禁止など、お客様の構成ミスが原因で、キー コンテナーベースの HTTPS リスナーが無効になります。 一時的な接続の問題がリスナーに影響を与えることはありません。

無効にされたリスナーが、Application Gateway 上の他の動作しているリスナーのトラフィックに影響を与えることはありません。 たとえば、PFX 証明書ファイルが Application Gateway リソースに直接アップロードされる HTTP リスナーまたは HTTPS リスナーが無効になることはありません。

定期的なチェックとリスナーへの影響

Application Gateway の定期的なチェックの動作と、Key Vault ベースのリスナーの状態にそれが与える可能性のある影響について理解すると、このような状況を回避したり、より迅速に解決したりするのに役立ちます。

定期的なチェックの動作

1. Application Gateway のインスタンスは、Key Vault リソースを定期的にポーリングして、証明書の新しいバージョンを取得します。
2. このアクティビティの間に、Key Vault リソースへのアクセスが壊れていること、または証明書オブジェクトが見つからないことがインスタンスで検出された場合、そのキー コンテナーに関連付けられているリスナーは無効状態になります。 データ プレーンの一貫した動作を提供するため、インスタンスは 60 秒以内にリスナーのこの無効状態で更新されます。
3. お客様が問題を解決すると、同じ 4 時間ごとのポーリングによって Key Vault の証明書オブジェクトへのアクセスが検証され、そのゲートウェイのすべてのインスタンスでリスナーが自動的に再度有効になります。

無効にされたリスナーを識別する方法

1. Application Gateway の無効にされたリスナーに対して要求が行われると、クライアントではエラー "ERR_SSL_UNRECOGNIZED_NAME_ALERT" が発生します。

2. スクリーンショットに示すように、Application Gateway の [リソース正常性] ページを調べると、ゲートウェイの無効にされたリスナーが原因でクライアント エラーが発生したかどうかを確認できます。

Key Vault の構成エラーの解決

アカウントで Azure Advisor の推奨事項に移動することで、正確な原因を絞り込み、問題を解決するための手順を見つけることができます。

1. Azure portal にサインインします
2. Advisor を選びます
3. 左側のメニューから [オペレーショナル エクセレンス] カテゴリを選びます。
4. "Application Gateway の Azure Key Vault に関する問題を解決する" というタイトルの推奨事項が表示されます (ゲートウェイでこの問題が発生している場合にのみ表示されます)。 正しいサブスクリプションが選択されていることを確認します。
5. それを選ぶと、エラーの詳細、関連付けられた Key Vault リソース、および発生している問題を解決するためのトラブルシューティング ガイドが表示されます。

次のステップ

Azure Application Gateway での Key Vault のエラーのトラブルシューティング