需要看看是否有人可以解释一下我在此设置中遇到的间歇性问题。
首先设置如下:
最终用户 -> F5 的 VIP(无 SSL 和循环)-> 2 对 Apache 服务器(虚拟主机的 SSL)-> F5(SSL 和最少连接)-> 4 个 IIS 服务器(SSL)-> 应用服务器。
IIS 7.5
· IIS 空闲超时设置为 0(表示已禁用)· 保持活动:2 分钟
Apache 2.4 和 OpenSSL 1.0
超时 10 分钟
SSLEngine On
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN off
SSLProxyCheckPeerName off
F5 F5运行固件12超时为5分钟。
应用程序是.Net
错误
我们偶尔会遇到代理错误日志中出现以下问题。客户端会不时抱怨。Wireshark 没用,因为很难找到准确的时间,而且输出的数据很难捕获超过 30 分钟的数据。
注意到 Apache、F5 和 IIS 托管了许多其他网站,它们都没有问题。只有这个有问题。同样的用户 IP 也可以工作,但有时会出错。
[错误] [客户端 xxxxxx] 代理:与远程服务器进行 SSL 握手时出错,由 /css/font-awesome.min.css 返回
[错误] 代理:传递请求主体失败F5 后端VIP 来自最终用户()
[错误](502)未知错误:代理:传递请求正文失败F5 贵宾
可能的原因:
我以为问题出在 TLS 1.2 的扩展主密钥上,但事实并非如此。我使用较新的浏览器时没有出现问题,但有时同一个用户可以正常工作,然后突然出现此错误,之后又恢复正常。
除此之外,绕过 Apache 服务器的内部用户实际上可以毫无问题地使用该站点。
奇怪的是 SSL 握手出现了问题。
代理和后端 VIP 之间使用 F5 TLS 1.2。
我也在代理上禁用了旧密码和 SSLv2 和 3。
SSL Labs 将网站评为 A+。
欢迎任何建议。
答案1
配置 OneConnect。这样做将保持连接打开并消除大量 SSL 协商。