故障排除

如果配置SSL特性后，它仍不能正常工作，您可以使用一些常用工具来访问Citrix ADC资源并诊断问题。

资源故障排除

为了获得最佳结果，请使用以下资源来排除Citrix ADC设备上的SSL问题:

• 相关的ns.log文件
• 最新的ns.conf文件
• 消息文件
• 相关的newnslog文件
• 跟踪文件
• 如果可能，证书文件的副本
• 如果可能，密钥文件的副本
• 错误消息(如果有的话)

除以上参考资料外，您还可以使用针对Citrix ADC跟踪文件定制的Wireshark应用程序来快速排除故障。

SSL问题故障排除

解决SSL问题的步骤如下:

• 验证Citrix ADC设备是否获得SSL卸载和负载平衡的许可。
• 验证设备上是否启用了SSL卸载和负载平衡特性。
• 检查SSL虚拟服务器的状态是否为DOWN。
• 检查虚拟服务器绑定的服务状态是否为DOWN。
• 检查虚拟服务器是否绑定了有效的证书。
• 检查服务是否使用了适当的端口，最好是端口443。

解密来自数据包跟踪的TLS1.3流量

要对运行在TLS1.3上的协议进行故障诊断，必须首先解密TLS1.3流量。如果要在Wireshark中解密TLS 1.3，需要将解密文件导出为NSS密钥日志格式。有关关键日志格式的更多信息，请参见NSS密钥日志格式．

有关如何捕获数据包跟踪的信息，请参见在跟踪过程中捕获SSL会话密钥．

请注意: Citrix ADC会根据使用的TLS/SSL协议版本以适当的格式自动记录每个连接的秘密。

在HA设置中，不会在辅助节点上发生CRL刷新

由于只有主节点可以通过私网访问CRL服务器，所以没有刷新。

处理:在主节点上使用CRL服务器的IP地址添加服务。该服务充当CRL服务器的代理。当节点间配置同步时，CRL刷新会通过主节点上配置的服务在主节点和备节点上同时生效。