我们有一个启用了WAF功能的Azure Application Gateway V2设置。突然,我们所有后端池(在我们的案例中为3个)的健康状况开始显示不健康,并且当我们检查后端健康状况时显示错误时,我们遇到了麻烦:
后端服务器证书已过期。请上载有效的证书。
现在,在应用网关和后端池服务器/VM上应用了相同的证书。我们不得不为后端服务器切换到非SSL端口以解决问题。
我无法查明问题,因为如果任何证书在应用于后端池VM时过期,一旦应用于应用程序网关本身,就会给予相同的错误。有人可以帮助确定问题的实际根本原因以及为什么它只在后端池级别显示错误?
非常重要的一点是,当打开后端池URL时,浏览器中显示的证书在过期前2个多月仍然显示。
谢谢。
4条答案
按热度按时间fzwojiic1#
我不能发表评论,因为我没有足够的声誉点,但这可能与Sectigo的传统AddTrust外部CA根证书于2020年5月30日到期https://support.sectigo.com/articles/Knowledge/Sectigo-AddTrust-External-CA-Root-Expiring-May-30-2020在我的情况下,浏览器也显示一切正常,但是负责进行健康检查的HttpClient无法连接到端点。有趣的是,我没有连接到端点。在dotnetcore2.1上运行的HttpClient无法访问端点,但在dotnetcore3.1上一切正常
dbf7pr2w2#
同样的事情发生在我的Web应用程序(大致与您报告的时间相同)托管在Azure上,该应用程序也在启用WAF的Application Gateway V2设置之后。重新启动Web应用程序解决了错误。
uqdfh47h3#
我不确定Application Gateway的根本问题是什么,但我的一个应用程序重新启动了webapp,但另一个应用程序仍然不健康。我可以成功地从本地服务器连接到webapp,但不是通过应用程序网关。
最后我做的是从后端池中删除服务器并重新添加它。一旦它被添加回来,后端健康状态就变成了“健康”。
x9ybnkn64#
通过openssl检查后,发现中间证书已被CA吊销,并导致了问题。
要检查证书是否有效,可以使用在线证书状态协议,或者下载CRI文件并在该文件中检查证书。第二种方法的缺点是CRI文件在CA端需要一点时间来更新。