故障排除

如果 SSL 功能在配置后无法按预期方式工作,则可以使用一些常用工具访问 Citrix ADC 资源并诊断问题。

用于故障排除的资源

为获得最佳效果,请使用以下资源对 Citrix ADC 设备上的 SSL 问题进行故障排除:

  • 相关的 ns.log 文件
  • 最新的 ns.conf 文件
  • 消息文件
  • 相关newnslog 文件
  • 跟踪文件
  • 证书文件的副本(如果可能)
  • 密钥文件的副本(如果可能)
  • 错误消息(如果有)

除了这些资源之外,还可以使用为 Citrix ADC 跟踪文件定制的 Wireshark 应用程序来加快故障排除速度。

对 SSL 问题进行故障排除

要解决 SSL 问题,请按以下步骤操作:

  • 验证 Citrix ADC 设备是否已获得 SSL 卸载和负载均衡许可。
  • 验证设备上是否启用了 SSL 卸载和负载平衡功能。
  • 验证 SSL 虚拟服务器的状态不显示为“向下”。
  • 验证绑定到虚拟服务器的服务状态不显示为“向下”。
  • 验证有效证书是否绑定到虚拟服务器。
  • 验证服务是否正在使用适当的端口,最好是端口 443。

从数据包跟踪解密 TLS1.3 流量

若要对 TLS1.3 上运行的协议进行故障排除,您必须首先解密 TLS1.3 流量。要在 Wireshark 中解密 TLS 1.3,必须以密NSS 钥日志格式导出密钥。有关密钥日志格式的更多信息,请参阅NSS 密钥日志格式

有关如何捕获数据包跟踪的信息,请参阅在跟踪过程中捕获 SSL 会话密钥

注意:Citrix ADC 以适当格式自动记录每个连接的密码,适用于正在使用的 TLS/SSL 协议版本。

CRL 刷新不会在 HA 设置中的辅助节点上发生

刷新不会发生,因为 CRL 服务器只能通过专用网络访问主节点。

解决办法: 在主节点上添加具有 CRL 服务器 IP 地址的服务。此服务充当 CRL 服务器的代理。在节点之间同步配置时,CRL 刷新将通过在主节点上配置的服务同时适用于主节点和辅助节点。