F5, Apache и IIS - Ошибка при подтверждении SSL-соединения с удаленным сервером
Необходимо посмотреть, сможет ли кто-нибудь пролить свет на периодически возникающую проблему, с которой я сталкиваюсь. эта установка.
Сначала настройка выглядит следующим образом:
Конечный пользователь -> VIP F5 (без SSL и циклического перебора) -> 2 пары серверов Apache (SSL для виртуального хоста) -> F5 (SSL и минимальное соединение) - > 4 сервера IIS (SSL) -> Сервер приложений.
IIS 7.5
· Тайм-аут простоя IIS установлен на 0 (то есть отключен) · Время активности: 2 минуты
Apache 2.4 с OpenSSL 1.0
, 10 минут
SSLEngine On
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN off
SSLProxyCheckPeerName off
F5 F5 запускает прошивку 12 Таймаут 5 минут.
Приложение - .Net
Ошибка
У нас периодически возникают проблемы, при которых в журналах ошибок прокси-сервера отображается следующее. Клиент время от времени жалуется. Wireshark был бесполезен, так как трудно определить точное время, а данные, размещенные там, затрудняют захват более 30 минут.
Отметил, что Apache, F5 и IIS размещают много других сайтов, и у них нет проблем. Это только есть. также может работать тот же IP-адрес пользователя, но иногда возникает ошибка.
[ошибка] [клиент xxxxxx] прокси: ошибка во время установления связи SSL с удаленным сервером, возвращенная /css/font-awesome.min.css
[ошибка] прокси: не удалось передать тело запроса серверной части F5 VIP от конечного пользователя ()
[ошибка] (502) Неизвестная ошибка: прокси: не удалось передать тело запроса на F5 VIP
Возможная причина:
Я думал, что проблема связана с расширенным главным ключом для TLS 1.2, но это было не так. У меня есть новые браузеры без проблем, но иногда один и тот же пользователь может работать нормально, и внезапно они получают эту ошибку, и после того, как они снова в порядке.
Вдобавок к этому, внутренние пользователи, которые обходят серверы Apache, могут фактически без проблем пользоваться сайтом.
Что странно, так это то, что с подтверждением SSL возникает проблема.
Между прокси-сервером и VIP серверной части F5 используется TLS 1.2.
Я отключил старые шифры и SSLv2 и 3 на прокси.
SSL Labs показывает сайт как A +.
Любые предложения приветствуются.
Настройте OneConnect. Это позволит поддерживать соединения открытыми и устраняет необходимость в согласовании SSL.