Por que estou recebendo um erro 502 com ARR somente quando o SSL está ativado?

Navegue suas respostas
1

Eu tenho uma configuração com o ARR em um servidor front-end e um web farm do IIS (8) por trás dele. O SSL é habilitado com o mesmo certificado no servidor ARR e nos servidores do farm da web do IIS e não estou usando o descarregamento de SSL. Os servidores estão usando o Shared Config, então a configuração é teoricamente idêntica. Curiosamente, quando a configuração de round robin do ARR atinge um dos servidores, ele retorna um "502 - servidor da Web recebeu uma resposta inválida enquanto atuava como um gateway ou servidor proxy". erro. Outro servidor retorna a página bem com o funcionamento do SSL. Se eu apontar o meu navegador para o servidor "ruim" diretamente, sem o ARR, ele funcionará bem no modo HTTPS / SSL. Eu verifiquei as configurações e não encontrei nada diferente entre os servidores e até mesmo habilitei o Failed Request Tracing no servidor ARR, o que não ajudou muito, mas vi um erro 502.3 diferente no log. Por que recebo um erro 502 de qualquer tipo, especialmente em apenas um servidor no farm quando eles estão configurados de forma idêntica à configuração compartilhada e os certificados estão em todos os servidores?

    
por stackonfire 05.11.2015 / 06:35

2 respostas

2

Deixe-me responder minha própria pergunta ... Eu desabilitei "Exigir Indicação do Nome do Servidor" e de repente tudo funcionou. Isso é estranho porque o SNI estava habilitado em todos os servidores no farm para o mesmo site, mas para um deles, desmarcá-lo fazia tudo funcionar. Minha teoria é a seguinte: mesmo com a configuração compartilhada, as informações de ligação SSL não são realmente transferidas de um servidor para outro, do IP para o certificado. Como muitos de vocês sabem, você ainda tem que ir manualmente para o outro servidor e selecionar o certificado. Então isso foi uma pista sobre como as configurações poderiam ser diferentes. Eu realmente acredito que as configurações foram as mesmas visualmente, mas em algum lugar sob o capô algo era diferente para uma ligação de alguma forma. De qualquer forma, eu passei horas sobre esta questão e em nenhum lugar eu li nada sobre "Exigir Server Name Indication" sendo relacionado a um erro 502. Por isso, gostaria de compartilhar com a comunidade da Internet para que as pessoas futuras saibam ver essa configuração se estiverem presas a um erro 502 ao usar o SSL. Talvez haja uma maneira de mantê-lo ativado, já que estava funcionando no resto da minha fazenda, mas, no mínimo, você saberá em que área talvez precise procurar resolver seu erro 502. Claro, lembre-se que a primeira causa de erros 502 na minha opinião é não ter o certificado instalado em todos os servidores quando não estiver usando o descarregamento SSL, mas isso não era problema meu, e o meu era único em que apenas um servidor em um farm estava se comportando mal SSL ativado. Espero que isto ajude alguém.

    
por 05.11.2015 / 06:35
0

Eu estava recebendo um erro semelhante. Ir para reescrever Url funcionou diretamente bem, no entanto, ARR daria 502 erros de segurança. Eu estou usando um certificado auto-assinado para fazer o Dev funcionar e acontece que "como" eu crio o certificado faz a diferença. Quando eu uso o Powershell: 

New-SelfSignedCertificate -DnsName *.localmachine.com  -CertStoreLocation cert:\LocalMachine\My

O cert funciona bem indo direto para vários sites usando o certificado, no entanto, através de ARR lança os erros. Se eu usar o makecert da velha escola: 

makecert -n "CN=*.localmachine.com" -pe -ss My -sr LocalMachine -sky exchange -m 120 -in "WebTeam Dev WildCard Root CA" -is Root -ir LocalMachine -a sha256 -eku 1.3.6.1.5.5.7.3.1

Funciona bem, tanto direto quanto através de ARR - até mesmo os logs de rastreamento não fornecem detalhes sobre qual era o problema real: (

    
por 17.09.2018 / 18:09

Tags

Proxy reverso (Nginx) + ELB da AWS ELB: força SSL ataque do servidor Webapplication