ADC

Solución de problemas

Si la función SSL no funciona como se esperaba después de la configuración, puede utilizar algunas herramientas comunes para acceder a los recursos de NetScaler y diagnosticar el problema.

Recursos para solucionar problemas

Para obtener los mejores resultados, utilice los siguientes recursos para solucionar un problema de SSL en un dispositivo NetScaler:

  • El archivo ns.log correspondiente
  • El archivo ns.conf más reciente
  • El archivo de mensajes
  • El newnslog archivo correspondiente
  • Archivos de rastreo
  • Una copia de los archivos del certificado, si es posible
  • Una copia del archivo clave, si es posible
  • El mensaje de error, si lo hay

Además de estos recursos, puede utilizar la aplicación Wireshark personalizada para los archivos de rastreo de NetScaler a fin de acelerar la solución de problemas.

Solución de problemas de SSL

Para solucionar un problema de SSL, sigue estos pasos:

  • Compruebe que el dispositivo NetScaler tenga licencia para la descarga de SSL y el equilibrio de carga.
  • Compruebe que las funciones de descarga SSL y equilibrio de carga estén habilitadas en el dispositivo.
  • Compruebe que el estado del servidor virtual SSL no aparezca como INACTIVO.
  • Compruebe que el estado del servicio enlazado al servidor virtual no aparezca como INACTIVO.
  • Compruebe que haya un certificado válido enlazado al servidor virtual.
  • Verifique que el servicio esté mediante un puerto apropiado, preferiblemente el puerto 443.

Descifrar el tráfico TLS1.3 a partir del rastreo de paquetes

Para solucionar problemas de protocolos que se ejecutan en TLS1.3, primero debe descifrar el tráfico de TLS1.3. Para descifrar TLS 1.3 en Wireshark, los secretos deben exportarse en el formato de registro de claves de NSS. Para obtener más información sobre el formato de registro de claves, consulte Formato de registro de claves de NSS.

Para obtener información sobre cómo capturar un seguimiento de paquetes, consulte Captura de claves de sesión SSL durante un seguimiento.

Nota: NetScaler registra automáticamente los secretos de cada conexión en el formato adecuado para la versión del protocolo TLS/SSL en uso.

La actualización de CRL no se produce en el nodo secundario de una configuración de HA

La actualización no se produce porque solo el nodo principal puede acceder al servidor CRL a través de una red privada.

Solución alternativa: agregue un servicio en el nodo principal con la dirección IP del servidor CRL. Este servicio actúa como un proxy para el servidor CRL. Cuando la configuración se sincroniza entre los nodos, la actualización CRL funciona tanto para los nodos primario como secundario a través del servicio configurado en el nodo primario.

Solución de problemas