Oracle Cloud Infrastructureドキュメント

ロード・バランサSSLの問題のトラブルシューティング

ロード・バランサに関連するSecure Socket Layer (SSL)の問題について学習します。

SSL関連のバックエンド・サーバーのヘルス・チェックの失敗

SSLエラーのためにバックエンド・サーバーのヘルス・チェックが失敗した場合、バックエンド・サーバーはSSLを受け入れるように構成されているが、選択されたヘルス・チェック・プロトコルがバックエンド・サーバーのものと一致していないことを示している可能性があります。

この動作が発生した場合は、TLSが有効になっているバックエンド・サーバーで非TLSのヘルス・チェックを使用していることを確認します。

詳細は、ロード・バランサのヘルス・チェック・ポリシーを参照してください。

SSLハンドシェイク

Oracle Cloud InfrastructureメトリックでSSLハンドシェイクの障害が発生した場合、SSLハンドシェイクの問題を示している可能性があります。バックエンド・サーバーがSSLを受け入れるように構成されていない場合、ハンドシェイクの問題が発生する可能性があります。バックグラウンド情報は、ロード・バランサ・メトリックを参照してください。

考えられる解決策には次が含まれます:

  • バックエンド・サーバー証明書が、指定された認証局と一致していることを確認します。

  • チェーン内のすべての証明書が、「証明書」フィールドに正しい順序で指定されていることを確認します。

  • 正しい証明書の深さが指定されていることを確認します。

詳細は、「一般的なLoad Balancerエラー」のSSLハンドシェイク・エラーの項を参照してください。

バックエンド・サーバーのSSLハンドシェイク

502不正なゲートウェイ・エラーの障害が発生した場合、バックエンド・サーバーのSSLハンドシェイクの問題を示している可能性があります。バックエンド・サーバーのSSLハンドシェイクの問題の考えられる原因には次が含まれます:

  • バックエンド・サーバーがSSLを受け入れるように構成されていません。

  • バックエンド・サーバー証明書が無効です。

考えられる解決策には次が含まれます:

  • バックエンド・サーバー証明書が、指定された認証局と一致していることを確認します。

  • チェーン内のすべての証明書が、「証明書」フィールドに正しい順序で指定されていることを確認します。

  • 正しい証明書の深さが指定されていることを確認します。

詳細は、「一般的なLoad Balancerエラー」のバックエンド・サーバーのSSLハンドシェイク・エラーの項を参照してください。

SSL証明書

Oracle Cloud InfrastructureメトリックでSSLハンドシェイク障害が発生した場合、SSL証明書の問題を示している可能性があります。バックグラウンド情報は、Load Balancerメトリックを参照してください。

SSL証明書の問題の考えられる原因には次が含まれます:

  • クライアント証明書が無効です。

  • クライアント証明書が信頼されていません。

  • ピア証明書の検証の深さが無効です。

考えられる解決策には次が含まれます:

  • クライアント証明書が有効であることを確認します。

  • リスナーのピア証明書の検証機能を削除します。

詳細は、ロード・バランサ管理SSL証明書のキー・ペアの不一致に関する項を参照してください。

クライアントSSL証明書

400レスポンス・エラーが発生した場合、またはロード・バランサのエラー・ログに必須のSSL証明書なしと表示される場合は、クライアントSSL証明書の問題を示している可能性があります。このエラーは、クライアントがクライアント証明書を送信していないことが原因で発生する可能性があります。

考えられる解決策には次が含まれます:

  • 正しいクライアント証明書を送信するようにクライアントを更新します。

  • リスナーのピア証明書の検証機能を削除します。

  • 証明書の検証の深さを調整します。

詳細は、ロード・バランサ管理対象SSL証明書のピア証明書の検証の構成に関する項を参照してください。

SSLホスト名の検証

502不正なゲートウェイ・エラーの障害が発生した場合、指定されたホスト名が予期されたものと一致しないことを示している可能性があります。

考えられる解決策には次が含まれます:

  • 予期されたホスト名を使用するようにクライアントを構成します。

  • クライアントによって送信されたホスト名と一致するように証明書を構成します。

詳細は、ロード・バランサ管理対象SSL証明書を参照してください。

SSL仮想リスナー

既存のロード・バランサのバックエンド・サーバーを作成することも、以前に同じロード・バランサ内に作成されたバックエンド・サーバーに新しいサーバーを追加することもできない場合、SSL仮想リスナーの問題を示しています。

SSL仮想リスナーの問題の考えられる原因は、Transport Layer Security (TLS)のバージョンの不一致です。この動作が発生した場合、リスナーのTLSバージョンを一致させます。

詳細は、「一般的なLoad Balancerエラー」の仮想リスナー・エラーの項を参照してください。