Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Zusammenfassung
Auf die SSL/TLS-Zertifikate für die Listener von Azure Application Gateway kann über die Key Vault-Ressource eines Kunden zugegriffen werden. Ihr Anwendungsgateway muss immer Zugriff auf eine solche verknüpfte Schlüsseltresorressource und sein Zertifikatobjekt haben, um einen reibungslosen Betrieb des TLS-Beendigungsfeatures und die allgemeine Integrität der Gatewayressource sicherzustellen.
Es ist wichtig, alle Auswirkungen auf Ihre Application Gateway-Ressource zu berücksichtigen, wenn Sie Änderungen vornehmen oder den Zugriff auf Ihre Key Vault Ressource widerrufen. Falls Ihr Anwendungsgateway nicht auf den zugehörigen Schlüsseltresor zugreifen oder das Zertifikatobjekt finden kann, wird dieser Listener automatisch in einen deaktivierten Zustand versetzt. Die Aktion wird nur für Konfigurationsfehler ausgelöst. Fehlkonfigurationen durch den Kunden wie das Löschen bzw. Deaktivieren von Zertifikaten oder das Verbot des Zugriffs des Application Gateways über die Firewall oder Berechtigungen des Schlüsseltresors führen dazu, dass der HTTPS-Listener, der auf dem Schlüsseltresor basiert, deaktiviert wird. Vorübergehende Konnektivitätsprobleme haben keine Auswirkungen auf die Listener.
Ein deaktivierter Listener wirkt sich nicht auf den Datenverkehr für andere betriebsbereite Listener auf Ihrem Anwendungsgateway aus. Beispielsweise werden die HTTP-Listener oder HTTPS-Listener, für die die PFX-Zertifikatdatei direkt in die Application Gateway-Ressource hochgeladen wird, nie deaktiviert.
Eine Abbildung, die betroffene Zuhörer zeigt.
Regelmäßige Überprüfung und deren Auswirkungen auf Listener
Indem Sie das Verhalten der periodischen Überprüfung des Application Gateway und deren potenziellen Einfluss auf den Zustand eines Key Vault-basierten Listeners verstehen, können Sie solche Vorkommnisse vorab verhindern oder wesentlich schneller beheben.
Wie funktioniert die regelmäßige Überprüfung?
- Anwendungsgatewayinstanzen rufen regelmäßig die Key Vault-Resource ab, um eine neue Version des Zertifikats zu erhalten.
- Wenn die Instanzen stattdessen einen fehlerhaften Zugriff auf die Schlüsseltresorressource oder ein fehlendes Zertifikatobjekt erkennen, wird der listener, der diesem Schlüsseltresor zugeordnet ist, in einen deaktivierten Zustand versetzt. Die Instanzen werden innerhalb von 60 Sekunden mit diesem deaktivierten Status des Listeners aktualisiert, um ein einheitliches Verhalten der Datenebene sicherzustellen.
- Nachdem das Problem vom Kunden behoben wurde, überprüft die gleiche vierstündige zyklische Abfrage den Zugriff auf das Key Vault-Zertifikat-Objekt und aktiviert automatisch die Listener für alle Instanzen dieses Gateways.
Möglichkeiten zum Identifizieren eines deaktivierten Listeners
- Die Clients beobachten den Fehler "ERR_SSL_UNRECOGNIZED_NAME_ALERT", wenn eine Anforderung an einen deaktivierten Listener Ihres Anwendungsgateways erfolgt.
So wird ein Screenshot des Clientfehlers aussehen.
- Sie können überprüfen, ob der Clientfehler von einem deaktivierten Listener auf Ihrem Gateway resultiert, indem Sie die Application Gateways Resource Health Seite überprüfen, wie im Screenshot gezeigt.
Screenshot der vom Benutzer gesteuerten Ressourcengesundheit.
Beheben von Key Vault Konfigurationsfehlern
Sie können sich auf die genaue Ursache eingrenzen und Schritte finden, um das Problem zu beheben, indem Sie die Azure Advisor Empfehlung in Ihrem Konto besuchen.
- Melden Sie sich bei Ihrem Azure-Portal an
- Wählen Sie „Advisor“ aus.
- Wählen Sie im linken Menü die Kategorie „Optimaler Betrieb“ aus.
- Suchen Sie die Empfehlung mit dem Titel Resolve Azure Key Vault Problem für Ihr Anwendungsgateway (nur angezeigt, wenn dieses Problem durch Ihr Gateway auftritt). Vergewissern Sie sich, dass das richtige Abonnement ausgewählt ist.
- Wählen Sie es aus, um die Fehlerdetails und die zugehörige Key Vault-Ressource zusammen mit dem Handbuch zur Problembehandlung anzuzeigen.
Hinweis
Die deaktivierten Listener werden automatisch aktiviert, wenn die Application-Gateway-Ressource erkennt, dass das zugrunde liegende Problem behoben ist. Diese Überprüfung erfolgt alle vierstündigen Intervalle. Sie können den Vorgang beschleunigen, indem Sie eine geringfügige Änderung am Anwendungsgateway (für HTTP-Einstellung, Ressourcentags usw.) durchführen, die eine Überprüfung des Key Vaults erzwingt.
Nächste Schritte
Fehlerbehebung von Key Vault-Fehlern in Azure Application Gateway