故障排除

如果SSL特性在配置后没有像预期的那样工作，您可以使用一些常用工具访问Citrix ADC资源并诊断问题。

资源故障排除

为获得最佳结果，请使用以下资源对Citrix ADC设备上的SSL问题进行故障排除:

• 相关的ns.log文件
• 最新的ns.conf文件
• 消息文件
• 相关的newnslog文件
• 跟踪文件
• 证书文件的副本，如果可能的话
• 如果可能的话，密钥文件的副本
• 错误消息(如果有的话)

除了这些资源之外，您还可以使用为Citrix ADC跟踪文件定制的Wireshark应用程序来加快故障排除。

SSL问题故障排除

若要排除SSL问题，请按照以下步骤进行:

• 验证Citrix ADC设备已获得SSL卸载和负载平衡许可。
• 验证设备上是否启用了SSL卸载和负载平衡功能。
• 检查SSL虚拟服务器的状态是否显示为DOWN。
• 检查绑定到虚拟服务器的服务的状态没有显示为DOWN。
• 验证已将有效的证书绑定到虚拟服务器。
• 验证服务正在使用适当的端口，最好是端口443。

从报文跟踪解密TLS1.3流量

如果要排除运行在TLS1.3协议上的协议，必须先对TLS1.3流量进行解密。要解密Wireshark中的TLS 1.3，必须在NSS关键的日志格式。有关关键日志格式的更多信息，请参见NSS关键日志格式．

有关如何捕获包跟踪的信息，请参见跟踪过程中捕获SSL会话密钥．

请注意: Citrix ADC根据使用的TLS/SSL协议版本，以适当的格式自动记录每个连接的秘密。

在HA设置中，不会在辅助节点上刷新CRL

因为只有主节点可以通过私网访问CRL服务器，所以不会刷新。

处理:在主节点上添加使用CRL服务器IP地址的服务。该服务充当CRL服务器的代理。当节点之间同步配置时，通过主节点上配置的服务，主节点和备节点都可以进行CRL刷新。