Citrix ADC

Solución de problemas

Si la función SSL no funciona como se esperaba después de la configuración, puede utilizar algunas herramientas comunes para acceder a los recursos de Citrix ADC y diagnosticar el problema.

Recursos para solucionar problemas

Para obtener los mejores resultados, utilice los siguientes recursos para solucionar un problema SSL en un dispositivo Citrix ADC:

  • El archivo ns.log relevante
  • El último archivo ns.conf
  • El archivo de mensajes
  • El archivo newnslog correspondiente
  • Archivos de seguimiento
  • Una copia de los archivos de certificado, si es posible
  • Una copia del archivo de claves, si es posible
  • El mensaje de error, si existe

Además de estos recursos, puede utilizar la aplicación Wireshark personalizada para los archivos de seguimiento Citrix ADC para agilizar la solución de problemas.

Solución de problemas de SSL

Para solucionar un problema SSL, proceda de la siguiente manera:

  • Compruebe que el dispositivo Citrix ADC tiene licencia para descarga de SSL y equilibrio de carga.
  • Compruebe que las funciones de descarga SSL y equilibrio de carga estén habilitadas en el dispositivo.
  • Compruebe que el estado del servidor virtual SSL no se muestra como DOWN.
  • Compruebe que el estado del servicio enlazado al servidor virtual no se muestra como DOWN.
  • Compruebe que un certificado válido está enlazado al servidor virtual.
  • Verifique que el servicio esté utilizando un puerto apropiado, preferiblemente el puerto 443.

Descifrar el tráfico TLS1.3 del seguimiento de paquetes

Para solucionar problemas de protocolos que se ejecutan sobre TLS1.3, primero debe descifrar el tráfico TLS1.3. Para descifrar TLS 1.3 en Wireshark, los secretos deben exportarse en el formato de registro de claves de NSS. Para obtener más información sobre el formato de registro de claves, consulte Formato de registro de claves NSS.

Para obtener información acerca de cómo capturar un seguimiento de paquete, consulte Captura de claves de sesión SSL durante un seguimiento.

Nota: Citrix ADC registra automáticamente los secretos de cada conexión en el formato adecuado para la versión del protocolo TLS/SSL en uso.

La actualización de CRL no ocurre en el nodo secundario en una configuración de HA

La actualización no se produce porque el servidor CRL solo es accesible para el nodo principal a través de una red privada.

Solución alternativa: Agregue un servicio en el nodo principal con la dirección IP del servidor CRL. Este servicio actúa como un proxy para el servidor CRL. Cuando la configuración se sincroniza entre los nodos, la actualización CRL funciona tanto para los nodos primario como secundario a través del servicio configurado en el nodo primario.