Wir haben einen Content Switch vor einem virtuellen Server in NetScaler ADC, der als Load Balancer fungiert. Er ist an eine Servicegruppe gebunden, die über einen HTTP-Monitor verfügt. Wir können diesen Monitor nicht zum Laufen bringen.
Der Monitor ruft einen HTTPS-Endpunkt auf. Der Endpunkt erwartet eine SNI-Erweiterung (Server Name Indication) im Client Hello TLS-Handshake vom NetScaler. Laut unserem Datenverkehr-Dump fügt der NetScaler diese nicht hinzu. Dies führt dazu, dass der Endpunkt fehlschlägt (er sendet einen Fehlercode in seinem TLS-Antwortpaket und dann sendet der NetScaler ein Client-Reset-Paket).
Warum sendet unser NetScaler die SNI-Erweiterung nicht?
Anbei finden Sie Screenshots der Servicegruppenkonfiguration:
die Monitorkonfiguration:
das sowohl in der Servicegruppe als auch im Monitor verwendete SSL-Profil:
und die Ausgabe unserer Erfassung – das vom NetScaler gesendete Paket – keine SNI-Erweiterung gesendet:
Antwort1
Versuchen Sie, den allgemeinen Namen in Ihrem SSL-Profil durch den Hostnamen zu ersetzen, der in SNI erwartet wird.