Noções básicas sobre ouvintes com deficiência
Os certificados SSL/TLS para ouvintes do Azure Application Gateway podem ser referenciados a partir do recurso Key Vault de um cliente. Seu gateway de aplicativo sempre deve ter acesso a esse recurso de cofre de chave vinculado e seu objeto de certificado para garantir operações suaves do recurso de terminação TLS e a integridade geral do recurso de gateway.
É importante considerar qualquer impacto no recurso do Application Gateway ao fazer alterações ou revogar o acesso ao recurso do Cofre da Chave. Caso o gateway de aplicativo não consiga acessar o cofre de chaves associado ou localizar seu objeto de certificado, ele colocará automaticamente esse ouvinte em um estado desativado. A ação é acionada apenas para erros de configuração. Qualquer configuração incorreta do cliente, como exclusão/desativação de certificados ou proibição de acesso do gateway de aplicativo por meio do firewall ou das permissões do cofre de chaves, faz com que o ouvinte HTTPS baseado no cofre de chaves seja desativado. Problemas transitórios de conectividade não têm qualquer impacto sobre os ouvintes.
Um ouvinte desabilitado não afeta o tráfego de outros ouvintes operacionais no seu Application Gateway. Por exemplo, os ouvintes HTTP ou HTTPS para os quais o arquivo de certificado PFX é carregado diretamente no recurso Application Gateway nunca são desabilitados.
Verificação periódica e seu impacto nos ouvintes
Compreender o comportamento da verificação periódica do Application Gateway e seu impacto potencial no estado de um ouvinte baseado em cofre de chaves pode ajudá-lo a antecipar essas ocorrências ou resolvê-las muito mais rapidamente.
Como funciona a verificação periódica?
- As instâncias do Application Gateway pesquisam periodicamente o recurso do cofre de chaves para obter uma nova versão do certificado.
- Durante essa atividade, se, em vez disso, as instâncias detetarem um acesso quebrado ao recurso do cofre de chaves ou um objeto de certificado ausente, o(s) ouvinte(s) associado(s) a esse cofre de chaves entrarão em um estado desativado. As instâncias são atualizadas com esse status desabilitado do(s) ouvinte(s) dentro de 60 segundos para fornecer um comportamento consistente do plano de dados.
- Depois que o problema é resolvido pelo cliente, a mesma pesquisa periódica de quatro horas verifica o acesso ao objeto de certificado do cofre de chaves e reativa automaticamente os ouvintes em todas as instâncias desse gateway.
Maneiras de identificar um ouvinte com deficiência
- Os clientes observarão o erro "ERR_SSL_UNRECOGNIZED_NAME_ALERT" se qualquer solicitação for feita a um ouvinte desativado do seu Application Gateway.
- Você pode verificar se o erro do cliente resulta de um ouvinte desabilitado no gateway verificando a página Integridade dos Recursos do Application Gateway, conforme mostrado na captura de tela.
Resolvendo erros de configuração do Key Vault
Você pode restringir a causa exata e encontrar etapas para resolver o problema visitando a recomendação do Azure Advisor em sua conta.
- Iniciar sessão no seu portal do Azure
- Selecione o Consultor
- Selecione a categoria Excelência Operacional no menu à esquerda.
- Encontre a recomendação intitulada Resolver o problema do Cofre da Chave do Azure para seu Gateway de Aplicativo (mostrada somente se o gateway estiver enfrentando esse problema). Verifique se a assinatura correta está selecionada.
- Selecione-o para visualizar os detalhes do erro e o recurso de cofre de chaves associado, juntamente com o guia de solução de problemas para corrigir o problema exato.
Nota
O(s) ouvinte(s) desabilitado(s) será(ão) habilitado(s) automaticamente se o recurso do Application Gateway detetar que o problema subjacente foi resolvido. Esta verificação ocorre a cada intervalo de quatro horas. Você pode acelerá-lo executando qualquer pequena alteração no Application Gateway (para Configuração HTTP, Tags de Recursos, etc.) que forçará uma verificação no Cofre da Chave.
Próximos passos
Solução de problemas de erros do cofre de chaves no Gateway de Aplicativo do Azure