Grundlegendes zu deaktivierten Listenern

  • Artikel

Auf die SSL/TLS-Zertifikate für die Listener von Azure Application Gateway kann über die Key Vault-Ressource eines Kunden verwiesen werden. Ihr Anwendungsgateway muss immer Zugriff auf eine solche verknüpfte Schlüsseltresorressource und das zugehörige Zertifikatobjekt haben, um einen reibungslosen Betrieb der TLS-Beendigungsfunktion und die allgemeine Integrität der Gatewayressource sicherzustellen.

Es ist wichtig, alle Auswirkungen auf Ihre Application Gateway-Ressource zu berücksichtigen, wenn Sie Änderungen vornehmen oder den Zugriff auf Ihre Key Vault-Ressource widerrufen. Falls Ihr Anwendungsgateway nicht auf den zugeordneten Schlüsseltresor zugreifen oder das zugehörige Zertifikatobjekt nicht finden kann, wird der entsprechende Listener automatisch in einen deaktivierten Zustand versetzt. Die Aktion wird nur bei Konfigurationsfehlern ausgelöst. Alle Kundenfehler wie das Löschen/Deaktivieren von Zertifikaten oder das Verbieten des Zugriffs des Anwendungsgateways über die Firewall oder Berechtigungen des Schlüsseltresors führen dazu, dass der schlüsseltresorbasierte HTTPS-Listener deaktiviert wird. Vorübergehende Konnektivitätsprobleme haben keine Auswirkungen auf die Listener.

Ein deaktivierter Listener wirkt sich nicht auf den Datenverkehr für andere betriebsbereite Listener in Ihrer Application Gateway-Instanz aus. So werden beispielsweise die HTTP- oder HTTPS-Listener, für die die PFX-Zertifikatsdatei direkt auf die Application Gateway-Ressource hochgeladen wird, niemals deaktiviert.

An illustration showing affected listeners.

Regelmäßige Überprüfung und deren Auswirkungen auf Listener

Wenn Sie das Verhalten der regelmäßigen Überprüfung von Application Gateway und ihre potenziellen Auswirkungen auf den Zustand eines schlüsseltresorbasierten Listeners verstehen, können Sie solche Vorkommnisse vermeiden oder deutlich schneller beheben.

Wie funktioniert die regelmäßige Überprüfung?

  1. Application Gateway-Instanzen rufen in regelmäßigen Abständen die Schlüsseltresorressource ab, um eine neue Zertifikatversion zu erhalten.
  2. Wenn die Instanzen während dieser Aktivität stattdessen einen fehlerhaften Zugriff auf die Schlüsseltresorressource oder ein fehlendes Zertifikatobjekt erkennen, gehen die diesem Schlüsseltresor zugeordneten Listener in einen deaktivierten Zustand über. Die Instanzen werden mit diesem deaktivierten Status der Listener innerhalb von 60 Sekunden aktualisiert, um ein konsistentes Datenebenenverhalten bereitzustellen.
  3. Nachdem das Problem vom Kunden behoben wurde, wird mit derselben regelmäßigen Abfrage im Vier-Stunden-Takt der Zugriff auf das Key Vault-Zertifikatobjekt überprüft, und Listener werden in allen Instanzen dieses Gateways automatisch erneut aktiviert.

Möglichkeiten zum Identifizieren eines deaktivierten Listeners

  1. Die Clients beobachten den Fehler „ERR_SSL_UNRECOGNIZED_NAME_ALERT“, wenn eine Anforderung an einen deaktivierten Listener Ihrer Application Gateway-Instanz gesendet wird.

Screenshot of client error will look.

  1. Sie können überprüfen, ob der Clientfehler von einem deaktivierten Listener auf Ihrem Gateway resultiert, indem Sie die Seite Ressourcenintegrität des Anwendungsgateways überprüfen, wie im Screenshot gezeigt.

A screenshot of user-driven resource health.

Beheben von Key Vault-Konfigurationsfehlern

Informationen zum Eingrenzen der genauen Ursache und Schritte zur Lösung des Problems finden Sie in der Azure Advisor-Empfehlung in Ihrem Konto.

  1. Melden Sie sich beim Azure-Portal an.
  2. Wählen Sie „Advisor“ aus.
  3. Wählen Sie im linken Menü die Kategorie „Optimaler Betrieb“ aus.
  4. Suchen Sie die Empfehlung Azure Key Vault-Problem für Ihr Application Gateway beheben (wird nur angezeigt, wenn bei Ihrem Gateway dieses Problem auftritt). Vergewissern Sie sich, dass das richtige Abonnement ausgewählt ist.
  5. Treffen Sie die entsprechende Auswahl, um die Fehlerdetails und die zugeordnete Schlüsseltresorressource sowie den Leitfaden zur Problembehandlung für Ihr spezifisches Problem anzuzeigen.

Hinweis

Die deaktivierten Listener werden automatisch aktiviert, wenn die Application Gateway-Ressource erkennt, dass das zugrunde liegende Problem behoben wurde. Diese Überprüfung erfolgt alle vier Stunden. Sie können dies beschleunigen, indem Sie eine geringfügige Änderung an Application Gateway (für HTTP-Einstellung, Ressourcentags usw.) vornehmen. Dadurch wird eine Überprüfung am Key Vault erzwungen.

Nächste Schritte

Beheben von Schlüsseltresorfehlern in Azure Application Gateway