Fehlerbehebung bei SSL-Problemen für Load Balancer

Wenn der Health Check eines Backend-Servers aufgrund des SSL-Fehlers nicht erfolgreich verläuft, kann dies darauf hinweisen, dass der Backend-Server so konfiguriert ist, dass SSL akzeptiert wird, das ausgewählte Health-Check-Protokoll jedoch nicht mit dem des Backend-Servers übereinstimmt.

Wenn dieses Verhalten auftritt, stellen Sie sicher, dass Sie einen Nicht-TLS-Health-Check auf einem Backend-Server verwenden, auf dem TLS aktiviert ist.

Weitere Informationen finden Sie unter Health Check Policys für Load Balancer.

Wenn in Oracle Cloud Infrastructure-Metriken SSL-Handshake-Fehler auftreten, kann dies auf ein SSL-Handshake-Problem hinweisen. Handshake-Probleme können auftreten, wenn der Backend-Server nicht für die Annahme von SSL konfiguriert wurde. Hintergrundinformationen finden Sie unter Load-Balancer-Metriken.

Folgende Lösungen sind möglich:

• Bestätigen Sie, dass das Zertifikat des Backend-Servers mit der bereitgestellten Zertifizierungsstelle übereinstimmt.
• Stellen Sie sicher, dass im Feld "Zertifikat" alle Zertifikate in der Kette in der richtigen Reihenfolge angegeben sind.
• Stellen Sie sicher, dass Sie die richtige Zertifikatstiefe angeben.

Weitere Informationen finden Sie im Abschnitt zu den SSL-Handshake-Fehlern unter Häufige Load-Balancer-Fehler.

Wenn Sie einen Fehler "502 Bad Gateway" erhalten, kann dies auf ein SSL-Handshake-Problem des Backend-Servers hinweisen. SSL-Handshake-Probleme mit Backend-Servern können auf folgende Ursachen zurückzuführen sein:

• Der Backend-Server ist so konfiguriert, dass SSL nicht akzeptiert wird.
• Das Zertifikat des Backend-Servers ist ungültig.

Folgende Lösungen sind möglich:

• Bestätigen Sie, dass das Zertifikat des Backend-Servers mit der bereitgestellten Certificate Authority übereinstimmt.
• Stellen Sie sicher, dass im Feld "Zertifikat" alle Zertifikate in der Kette in der richtigen Reihenfolge angegeben sind.
• Stellen Sie sicher, dass Sie die richtige Zertifikatstiefe angeben.

Weitere Informationen finden Sie im Abschnitt zu den SSL-Handshake-Fehlern des Backend-Servers unter Häufige Load-Balancer-Fehler.

Wenn in Oracle Cloud Infrastructure-Metriken SSL-Handshake-Fehler auftreten, kann dies auf ein Problem mit einem SSL-Zertifikat hinweisen. Hintergrundinformationen finden Sie unter Load-Balancer-Metriken.

Probleme mit SSL-Zertifikaten können auf folgende Ursachen zurückzuführen sein:

• Das Clientzertifikat ist ungültig.
• Dem Clientzertifikat wird nicht vertraut.
• Die Verifizierungstiefe der Peerzertifizierung ist ungültig.

Folgende Lösungen sind möglich:

• Stellen Sie sicher, dass das Clientzertifikat gültig ist.
• Entfernen Sie die Funktion für die Verifizierung der Peerzertifizierung auf dem Listener.

Weitere Informationen finden Sie im Abschnitt zu Nichtübereinstimmungen bei Schlüsselpaaren unter Load Balancer - Verwaltete SSL-Zertifikate.

Wenn ein 400-Antwortfehler auftritt oder in den Load-Balancer-Fehlerlogs keine erforderlichen SSL-Zertifikate angezeigt werden, kann dies auf ein Problem mit dem Client-SSL-Zertifikat hinweisen. Dieser Fehler kann darauf zurückzuführen sein, dass der Client kein Clientzertifikat sendet.

Folgende Lösungen sind möglich:

• Aktualisieren Sie den Client, damit das richtige Clientzertifikat gesendet wird.
• Entfernen Sie die Funktion für die Verifizierung der Peerzertifizierung auf dem Listener.
• Passen Sie die Verifizierungstiefe des Zertifikats an.

Weitere Informationen finden Sie im Abschnitt zum Konfigurieren der Verifizierung von Peerzertifikaten unter Von Load Balancern verwaltete SSL-Zertifikate.

Wenn Sie einen Fehler "502 Bad Gateway" erhalten, weist dies möglicherweise darauf hin, dass der angegebene Hostname nicht mit dem erwarteten Namen übereinstimmt.

Folgende Lösungen sind möglich:

• Konfigurieren Sie den Client so, dass der erwartete Hostname verwendet wird.
• Konfigurieren Sie das Zertifikat so, dass es mit dem vom Client gesendeten Hostnamen übereinstimmt.

Weitere Informationen finden Sie unter Von Load Balancer verwaltete SSL-Zertifikate.

Wenn Sie weder Backend-Server für einen vorhandenen Load Balancer erstellen noch dem Backend-Server, der zuvor in demselben Load Balancer erstellt wurde, neue Server hinzufügen können, weist das auf das Problem mit einem virtuellen SSL-Listener hin.

Eine mögliche Ursache für Probleme mit virtuellen SSL-Listenern ist eine fehlende Übereinstimmung der Transport Layer Security-(TLS-)Versionen. Wenn dieses Verhalten auftritt, gleichen Sie die TLS-Versionen auf den Listenern ab.

Weitere Informationen finden Sie im Abschnitt mit den virtuellen Listener-Fehlern unter Häufige Load-Balancer-Fehler.