故障排除

如果SSL特性在配置后没有按预期工作，可以使用一些常用工具访问Citrix ADC资源并诊断问题。

故障排除资源

为获得最佳效果，请使用以下资源在Citrix ADC设备上排除SSL问题:

• 相关的ns.log文件
• 最新的ns.conf文件
• 消息文件
• 相关的newnslog文件
• 跟踪文件
• 如果可能的话，提供一份证书文件的副本
• 一个密钥文件的副本，如果可能的话
• 错误消息(如果有的话)

除了这些资源，您还可以使用为Citrix ADC跟踪文件定制的Wireshark应用程序来加快故障排除。

解决SSL问题

解决SSL问题，请按以下步骤进行:

• 验证Citrix ADC设备已获得SSL卸载和负载平衡许可。
• 验证设备上是否启用了SSL卸载和负载平衡特性。
• 检查SSL虚拟服务器的状态是否显示为DOWN。
• 确认虚拟服务器绑定的服务状态没有显示为DOWN。
• 验证虚拟服务器是否绑定了有效的证书。
• 验证服务正在使用适当的端口，最好是端口443。

从数据包跟踪解密TLS1.3流量

要对运行在TLS1.3之上的协议进行故障排除，必须首先对TLS1.3流量进行解密。如果要在Wireshark中解密TLS 1.3，必须在NSS密钥日志格式。有关密钥日志格式的详细信息，请参见NSS Key日志格式．

有关如何捕获包跟踪的信息，请参见在跟踪期间捕获SSL会话密钥．

请注意: Citrix ADC根据所使用的TLS/SSL协议版本自动记录每个连接的秘密。

CRL刷新不会发生在HA设置中的辅助节点上

因为只有主节点可以通过私有网络访问CRL服务器，所以不会刷新。

处理:在使用CRL服务器IP地址的主节点上添加服务。该服务充当CRL服务器的代理。当节点之间的配置同步时，通过主节点上配置的服务，主节点和备节点都可以进行CRL刷新。