|
Продукты: Indeed AM (8.*)
Затрагиваемые компоненты: CORE, AK
Описание проблемы: Не работает балансировщик для AM/AK серверов. В логах присутствует ошибка: “ssl handshake failure”.
Или, если в Haproxy ошибок нет, но на стороне AM/AK ошибка "Не удалось создать защищенный канал SSL/TLS"
Причины возникновения: Проблема с сертификатами, либо с используемой версией TLS.
Варианты решения:
- Убедиться, что установлены валидные сертификаты.
- Проверить сертификат между AM и AK можно открыв внутренний URL AK сервера на сервере AM.
- Проверить сертификат между Haproxy и AK/AM можно с помощью одной из этих команд:
- curl https://<DNS_am_or_core>/ — команда должна вернуть ответ без ошибок. Если возвращается ошибка, то соединение не установлено.
- openssl s_client --connect <DNS_am_or_ak> — команда вернет сертификаты клиента и сервера. Полученный текст не должен содержать ошибок.
- openssl s_client -connect <DNS_am_or_core>:443 -CAfile /etc/ssl/CA/<domain_cert>.cer — команда выполнит проверку соединения с сервером, используя CA сертификат.
Пример успешной проверки:
- Если проблем с сертификатами нет, то необходимо понизить минимально используемую версию TLS до 1.0
Пример настройки для AK:
frontend airkey_server
mode http
bind *:81 ssl crt indeed.local.pem crt-ignore-err all ssl-min-ver TLSv1.0
option forwardfor
http-request redirect scheme https unless { ssl_fc }
default_backend backend_ak_servers_ssl
| 
(2 голос(а))