リリース 4.1.3 およびそれ以降のための cisco waas トラブル … · 2.9 nme...

●

●

❍

❍

❍

❍

❍

❍

❍

❍

❍

リリース 4.1.3 およびそれ以降のための CiscoWAAS トラブルシューティングガイド章: SSL AO のトラブルシューティングこの技術情報は SSL AO を解決する方法を記述します。

目次

1 つの SSL アクセラレータ概要2 SSL AO のトラブルシューティング

2.1 SSL AO ハンドオフ接続への HTTP AO のトラブルシューティング2.2 トラブルシューティングサーバ証明書の認証2.3 トラブルシューティング顧客証明書確認2.4 トラブルシューティングピア WAE 証明書確認2.5 OCSP 失効チェックのトラブルシューティング2.6 DNS 設定のトラブルシューティング2.7 SSL AO チェーニングへの HTTP のトラブルシューティング2.8 SSL AO ロギング2.9 NME および SRE モジュールのトラブルシューティング証明書終止アラーム

ガイドコンテンツ

主要な技術情報WAAS アーキテクチャおよびトラフィックフローの概要予備 WAAS トラブルシューティングトラブルシューティング最適化アプリケーションのトラブルシューティングアクセラレータCIFS AO のトラブルシューティングHTTP AO のトラブルシューティングEPM AO のトラブルシューティングMAPI AO のトラブルシューティングNFS AO のトラブルシューティングSSL AO のトラブルシューティングビデオ AO のトラブルシューティングジェネリック AO のトラブルシューティングトラブルシューティング過負荷状態WCCP のトラブルシューティングAppNav のトラブルシューティングトラブルシューティングディスクおよびハードウェア上の問題トラブルシューティングシリアルインラインクラスタトラブルシューティング vWAASWAAS Express のトラブルシューティングNAM 統合のトラブルシューティング

index.html

understanding_the_waas_architecture_and_traffic_flow.html

understanding_the_waas_architecture_and_traffic_flow.html

preliminary_waas_troubleshooting.html

troubleshooting_optimization.html

troubleshooting_application_acceleration.html


troubleshooting_the_cifs_ao.html

troubleshooting_the_http_ao.html

troubleshooting_the_epm_ao.html

troubleshooting_the_mapi_ao.html

troubleshooting_the_nfs_ao.html

troubleshooting_the_video_ao.html

troubleshooting_the_generic_ao.html

troubleshooting_overload_conditions.html

troubleshooting_wccp.html

troubleshooting_appnav.html

troubleshooting_disk_and_hardware_problems.html

troubleshooting_disk_and_hardware_problems.html

troubleshooting_serial_inline_clusters.html

troubleshooting_serial_inline_clusters.html

troubleshooting_vwaas.html

troubleshooting_waas_express.html

troubleshooting_nam_integration.html

●

●

●

●

SSL アクセラレータ概要 SSL アクセラレータは（4.1.3 およびそれ以降で利用可能な）暗号化された Secure SocketsLayer （SSL）および Transport Layer Security （TLS）トラフィックを最適化します。 SSL アクセラレータはエンドツーエンドトラフィック最適化を有効にするために WAAS 内のトラフィック暗号化および復号化を提供します。 SSL アクセラレータはまた暗号化証明およびキーのセキュアマネージメントを提供します。 WAAS ネットワークでは、データセンタ WAE はクライアントによって SSL 要求のための信頼された中間ノードとして機能します。プライベートキーおよびサーバ証明はデータセンタ WAE で保存されます。データセンタ WAE は SSL ハンドシェイクにブランチ WAE にインバンドを安全に配るセッションキーを得るために加わりま、クライアントトラフィックを復号化し、それを最適化し、再び暗号化し、データセンタ WAE に WAN に送信するようにブランチ WAE がします。データセンタ WAE は起源サーバとの別途の SSL セッションを維持します。次のサービスは SSL/TLS 最適化のために関連しています:

加速されたサービス–サーバの SSL サーバかセットを適用されるべきアクセラレータ特性を記述する設定エンティティ。信頼された媒介が、使用されるべき暗号 SSL バージョン提起している間割り当てた、および証明書確認設定規定しますと同時に使用されるべき証明書およびプライベートキーを。ピアリングサービス–ブランチとデータセンタ WAEs 間のインバンド SSL 接続を適用されるべきアクセラレータ特性を記述する設定エンティティ。このサービスはデータセンタからセッションキー情報を転送するために SSL 接続を最適化するための WAEs 分岐するために利用されます。マネージャ Admin 中央サービス–直接 SSL アクセラレータによって使用されなくて、しかしSSL 加速されたサービスの設定管理のために管理者によって使用されるため。また SSL 加速されたサービスで使用されるべき証明書およびプライベートキーをアップロードするのに使用しました。中央マネージャマネジメントサービス–直接 SSL アクセラレータによって使用されなくてが、アプリケーションアクセラレータデバイスと中央マネージャ間の通信のために使用されて。このサービスは設定管理のために利用されましたり、ストア暗号化キー検索および装置状態更新を保護します。

中央マネージャセキュアストアはすべての WAEs のためのセキュア暗号化キーを保存するので操作してが SSL AO のために必要です。各々の中央マネージャリロードが、管理者 cms セキュアストア open コマンドをパスフレーズに与えることによってセキュアストアを再開する必要があった後。 WAE は中央マネージャから自動的に WAE リブートが、従って操作がリロードの後で WAE で必要とならない時はいつでもセキュアストア暗号化キーを取得します。クライアントが HTTP プロキシソリューションを使用している場合、最初の接続はポート 443に SSL トンネル要求としてそれを認識する HTTP AO によって処理されます。 HTTP AO は接続への SSL AO を離れてデータセンタ WAE および一致を見つけるとき、ハンドで定義される一致する SSL 加速されたサービスを探します。ただし、HTTP AO が HTTPS プロキシのための SSLAO に渡すトラフィックは Webアプリケーション統計情報の一部として、ない SSL アプリケーションで報告されます。 HTTP AO が一致を見つけない場合、接続はスタティック HTTPS（SSL）ポリシー設定によって最適化されます。 SSL AO はプルーフオブコンセプト（POC）システムを展開することと SSL 問題を解決することで有用である場合もある CA 署名付き証明書よりもむしろ自己署名証明書を使用できます。自己署名証明書の使用によって、起源サーバ証明書をインポートしないですぐに WAAS システムを展開問題の潜在源として証明書を除去できます。 SSL 加速されたサービスを作成するとき中

央マネージャの自己署名証明書を設定できます。ただし、自己署名証明書を使用する場合、クライアントブラウザは（よく知られているな CA によって署名しないので）証明書が信頼できないことセキュリティ警報を表示する。このセキュリティ警告を避けるために、クライアントブラウザで信頼できるルート認証機関ストアに証明書をインストールして下さい。（Internet Explorerで、セキュリティ警告で、証明書を『View』をクリックして下さい、そして証明書ダイアログで Certificate import ウィザードを『install certificate』をクリックし、完了して下さい。） SSL マネジメントサービスを設定することはオプションで、中央マネージャ通信に使用するWAEs とブラウザに SSL バージョンおよび暗号リストを変更することを可能にします（管理アクセスのために）。ブラウザによってサポートされない暗号を設定すれば、中央マネージャへの接続を失います。この場合、デフォルトに戻って SSL マネジメントサービス設定を行う CLI からの暗号 ssl マネジメントサービス設定コマンドを使用して下さい。 SSL AO のトラブルシューティング提示アクセラレータとの一般の AO 設定およびステータスを確認し、トラブルシューティングアプリケーション加速記事に記述されているように license コマンドを、示すことができます。SSL アクセラレータオペレーションにエンタープライズライセンスが必要となります。次に、提示アクセラレータ ssl コマンドの使用によってデータセンタおよびブランチ両方 WAEsの SSL AO に特定である図 1.に示すようにステータスを確認して下さい。動作する SSL AO が有効になり登録されていること、そして接続制限が表示することがわかりたいと思います。構成状態が有効になればが、オペレーショナルステートがシャットダウンされれば、ライセンス問題を示唆します。オペレーショナルステートが無効になる場合、WAE は中央マネージャセキュアストアから SSL キーを取得できないセキュアストアが開いていないか、または中央マネージャが到達不能であるのでどちらかそうかもしれません。中央マネージャが到達可能であることを確認する提示 cms 情報および ping コマンドを使用して下さい。

図 1. SSL アクセラレータステータスの検証

ジェネレーション暗号パラメーターのオペレーショナルステートを参照する場合、再度ブートするに続く数分かかるかもしれないステータスが動作しているようになるまで待って下さい。数分以上については CM からキーを取得する状態を参照する場合、WAE の WAAS バージョンおよび中央マネージャが対応しないか、または中央マネージャセキュアストアが開いていないことことネットワーク接続が中央マネージャへないこと中央マネージャの CMS サービスが実行されていない示す可能性があります。中央マネージャセキュアストアが確認し、提示 cms セキュアストアコマンドの使用によって初期化されることを開くことができます次の通り:



●

●

●

cm# show cms secure-store

secure-store is initialized and open. セキュアストアが初期化されないし、開かない場合、mstore_key_failure およびセキュアストアのような重要なアラームが表示されます。『Admin』を選択しましたり > 保護しますストアをcms セキュアストア open コマンドでまたは中央マネージャからのセキュアストアを開くことができます。ヒント：パスワードを忘れている場合セキュアストアをリセットしなければならないことを避けるようにセキュアストアパスワードを文書化して下さい。 WAE のディスク暗号化に問題がある場合、それはまた SSL AO が操作することを防ぐことができます。提示ディスク詳細をコマンドディスク暗号化が確認するのに有効になる使用し、コンテンツおよび SPOOL パーティションがマウントされるかどうか確認して下さいことを。これらのパーティションがマウントされる場合、ディスク暗号化キーが中央マネージャから正常に取得され、暗号化されたデータが書き込まれ、ディスクから読むことができることを示します。提示ディスク詳細がコマンド「示せばシステム初期化していますマウントされていないことを」、は暗号化キーが中央マネージャからまだ取得されないし、ディスクがまだ示します。 WAE はこの状態のアクセラレータサービスを提供しません。 WAE が中央マネージャからディスク暗号化キーを取得することができない場合アラームがによって発します。 SSL 加速されたサービスが設定され、ステータスがデータセンタ WAE で「イネーブルになっている」ことを確認できます（中央マネージャで、デバイスを選択し、そして > アクセラレータ >SSL 加速されたサービス『Configure』を選択して下さい）。設定され、有効にされた加速されたサービスは次の状態による SSL アクセラレータによって非アクティブされるかもしれません:

加速されたサービスで設定される証明書 WAE から削除されて。加速されたサービスで使用される証明書を判別する show running-config コマンドを使用し、そして提示暗号証明書を使用し、ストアを保護しなさいことを証明書があることを確認することを暗号証明書の詳細コマンド示して下さい。証明書が抜けている場合、証明書を再インポートして下さい。加速されたサービス証明書は切れました。提示暗号証明書を使用し、暗号証明書の詳細に証明書満期日をチェックするコマンドを示して下さい。加速されたサービス証明書は将来開始する有効な日付を過します。提示暗号証明書を使用し、暗号証明書の詳細にコマンドを示し、コマンド出力の妥当性セクションをチェックして下さい。また WAE クロックおよびタイムゾーン情報が正確であることを、確認して下さい。

すなわち、図 2.に示すように SSL アクセラレータを用いる完全な最適化が、あることを SSL 接続に適用される正しいポリシーがあることを確認できます。中央マネージャで、WAE デバイスを選択し、そして > 最適化 > 接続統計情報『Monitor』を選択して下さい。

図 2. SSL 接続の正しいポリシーの検証

●

●

HTTPS トラフィックポリシーが正しく設定されることを確認する show running-config コマンドを使用して下さい。次の通り SSL アプリケーション操作およびあなたについては最適化するDRE No Compression がどれもリストされている条件を一致する HTTPS 分類子については適切見たいと思うのを見たいと思いません: WAE674# sh run | include HTTPS

classifier HTTPS

name SSL classifier HTTPS action optimize DRE no compression none <---------

----

WAE674# sh run | begin HTTPS

...skipping

classifier HTTPS

match dst port eq 443 <---------

----

exit アクティブな加速されたサービスはサーバIP に相当してダイナミックポリシーを挿入します: ポート、サーバ名: ポート、かサーバドメイン: 加速されたサービスの内で設定されるポート。これらのポリシーは提示ポリシーエンジンアプリケーション dynamic コマンドを使用して点検することができます。各々の表示するポリシーの Dst フィールドは加速されたサービスと一致するサーバIP およびポートを示します。ワイルドカードドメインに関しては（たとえば、443）サーバドメイン *.webex.com はポート、Dst フィールド 'Any:443 です。サーバ名設定に関しては、前方 DNS lookup は加速されたサービスがアクティブになり、DNS 応答で戻ったすべての IPアドレスをポリシーエンジンで挿入されるとき実行された。このコマンドは加速されたサービスがマークされた「インサービス」のが、加速されたサービスが他のエラーが理由で非アクティブされる状況をつかまえて役立ちます。たとえば、すべての加速されたサービスは非アクティブとして show running-config 出力で「インサービスの」ようであるがピアリングサービスおよびピアリングサービスが抜けた/また削除された証明書が理由で非アクティブなら、加速されたサービスに依存していますマークされます。 SSL ダイナミックポリシーが showpolicy エンジンアプリケーション dynamic コマンドのことを使用によってデータセンタ WAE でアクティブであることを確認できます。 showcrypto ssl サービスホストサービスピアリングコマンドの使用によってピアリングサービスステータスを確認できます。 SSL AO 加速されたサービス設定は 4 つのタイプの Server エントリがある場合があります:

静的な IP （サーバIP）--バージョン 4.1.3 およびそれ以降で利用可能すべてをつかまえて下さい（サーバIP）--4.1.7 およびそれ以降で利用可能

●

●

ホスト名（サーバ名）--4.2.1 およびそれ以降で利用可能ワイルドカードドメイン（サーバドメイン）--4.2.1 およびそれ以降で利用可能

接続が SSL AO によって受信されれば、どの加速されたサービスが最適化に使用する必要があるか決定します。次に静的な IP 設定はサーバ名、サーバドメインおよびサーバIP に先行している最も高いプリファレンスを与えられます。設定され、アクティブにされた加速されたサービスのどれも接続のためのサーバIP と一致する場合、ジェネリック AO への接続は押下げられます。どのような Server エントリが特定の接続のために一致するか SSL AO によってポリシーエンジンに挿入されるクッキーがどの加速されたサービスか判別するのに使用され。このポリシーエンジンクッキーは 32ビット数で、SSL AO にだけ有意義です。次の通り異なる Server エントリタイプおよびより低いビットが加速されたサービスインデックスを示すことを示すのにより高いビットが使用されています、:

SSL ポリシーエンジンクッキー値

例 1：サーバIP 設定の加速されたサービス: WAE674# sh run | include HTTPS

classifier HTTPS

name SSL classifier HTTPS action optimize DRE no compression none <---------

----

WAE674# sh run | begin HTTPS

...skipping

classifier HTTPS

match dst port eq 443 <---------

----

exit 対応したポリシー Engine エントリは次の通り追加されます: WAE# sh policy-engine application dynamic

Dynamic Match Freelist Information:

Allocated: 32768 In Use: 3 Max In Use: 5 Allocations: 1751

クッキー値Server エントリタイプ

コメント

0x8xxxxxxx サーバ IPアドレス静的IP アドレス設定

0x4xxxxxxx サーバホスト名

データセンタ WAE はホスト名のための前方 DNS lookup を行い、ダイナミックポリシー設定に戻る IP アドレスを追加します。 10分毎にデフォルトでリフレッシュしました。

0x2FFFFFFF サーバドメイン名

データセンタ WAE はドメインと一致したかどうか確認するために宛先ホスト IP アドレスのリバース DNS ルックアップを行います。それが一致する場合、SSL トラフィックは加速され、一致する、トラフィックはスタティック HTTPS ポリシーに従って処理されます。

0x1xxxxxxx サーバすべての SSL 接続はこの加速されたサービス設定を使用して加速されます

< snip >

Individual Dynamic Match Information:

Number: 1 Type: Any->Host (6) User Id: SSL (4) <----------------

Src: ANY:ANY Dst: 171.70.150.5:443 <----------------

Map Name: basic

Flags: SSL

Seconds: 0 Remaining: - NA - DM Index: 32764

Hits: 25 Flows: - NA - Cookie: 0x80000001 <----------------

例 2：サーバ名設定の加速されたサービス: この設定はエンタープライズ SSL アプリケーションの最適化のための容易な配備を可能にします。それは DNS コンフィギュレーション変更に適応可能で、IT 管理タスクを減らします。 WAE# sh policy-engine application dynamic



< snip >



Src: ANY:ANY Dst: 171.70.150.5:443 <----------------

Map Name: basic

Flags: SSL



対応したポリシー Engine エントリは次の通り追加されます: WAE# sh policy-engine application dynamic



< snip >



Src: ANY:ANY Dst: 74.125.19.104:443 <----------------

Map Name: basic

Flags: SSL



DM Ref Index: - NA - DM Ref Cnt: 0


Src: ANY:ANY Dst: 74.125.19.147:443 <----------------

Map Name: basic

Flags: SSL





Src: ANY:ANY Dst: 74.125.19.103:443 <----------------

Map Name: basic

Flags: SSL





Src: ANY:ANY Dst: 74.125.19.99:443 <----------------

Map Name: basic

Flags: SSL



DM Ref Index: - NA - DM Ref Cnt: 0 例 3：サーバドメイン設定の加速されたサービス: この設定は WAAS デバイスがすべてのサーバのための IP アドレスを知る必要を避ける単一ワイルドカードドメインを設定するようにします。設定されたドメインに属するトラフィックを一致するデータセンタ WAE 使用逆 DNS （rDNS）。ワイルドカードドメインを設定することは複数の IP アドレスを設定することを避けまソリューションを SaaS アーキテクチャにスケーラブルおよび適当にさせます。 WAE# sh policy-engine application dynamic



< snip >



Src: ANY:ANY Dst: 74.125.19.104:443 <----------------

Map Name: basic

Flags: SSL





Src: ANY:ANY Dst: 74.125.19.147:443 <----------------

Map Name: basic

Flags: SSL





Src: ANY:ANY Dst: 74.125.19.103:443 <----------------

Map Name: basic

Flags: SSL





Src: ANY:ANY Dst: 74.125.19.99:443 <----------------

Map Name: basic

Flags: SSL



DM Ref Index: - NA - DM Ref Cnt: 0 対応したポリシー Engine エントリは次の通り追加されます: WAE# sh policy-engine application dynamic



< snip >



Src: ANY:ANY Dst: ANY:443 <----------------

Map Name: basic

Flags: SSL


Hits: 0 Flows: - NA - Cookie: 0x2FFFFFFF <----------------

DM Ref Index: - NA - DM Ref Cnt: 0 例 4：サーバIP の加速されたサービス設定: この設定はあらゆる状況で現れたメカニズムを提供します。サーバIP の加速されたサービスはあらゆるポート 443 アクティブになされるとき、ポート 443 のすべての接続が SSL AO によって最適化されるようにします。 POC の間にこの設定が特定のポートのすべてのトラフィックを最適化するのに使用することができます。 WAE# sh policy-engine application dynamic



< snip >




Map Name: basic

Flags: SSL


Hits: 0 Flows: - NA - Cookie: 0x2FFFFFFF <----------------

DM Ref Index: - NA - DM Ref Cnt: 0 対応したポリシー Engine エントリは次の通り追加されます: WAE# sh policy-engine application dynamic



< snip >




Map Name: basic

Flags: SSL




図 3.に示すように show statistics 暗号 ssl 暗号コマンドで、使用される暗号を確認できます。

図 3.暗号の検証

これらの暗号が起源サーバで設定されたそれらを一致することを確認できます。注: DHE が含まれている暗号は Microsoft IIS サーバによってサポートされません。 Apache Server で、httpd.conf ファイルの SSL バージョンおよび暗号詳細を確認できます。これらのフィールドはまた httpd.conf から参照される個々のファイル（sslmod.conf）にあるかもしれません。次の通り SSLProtocol および SSLCipherSuite フィールドを探して下さい: WAE# sh policy-engine application dynamic



< snip >




Map Name: basic

Flags: SSL




次の通り Apache Server の証明書発行元を確認するために、証明書を読むのに openssl コマンドを使用して下さい: WAE# sh policy-engine application dynamic



< snip >




Map Name: basic

Flags: SSL




ブラウザでは、証明書および証明書チェーン、バージョン、暗号化キータイプ、発行元Common Name （CN）およびサブジェクト/サイト CN を判別するために詳細を表示できます。Internet Explorer で、パッドロックのアイコンをクリックし、証明書を『View』をクリックし、次にこの情報のための詳細および認証パスタブを検知して下さい。ほとんどのブラウザはクライアント認証が X509 PEM 形式よりもむしろ PKCS12 形式にあることを必要とします。次の通り Apache Server で X509 PEM 形式を PKCS12 形式にエクスポートするために、openssl コマンドを使用して下さい: WAE# sh policy-engine application dynamic



< snip >




Map Name: basic

Flags: SSL




プライベートキーが暗号化される場合、エクスポートにパスフレーズが必要となります。エクスポートパスワードは WAAS デバイスへ資格情報をインポートするために再度使用されます。 SSL AO 統計情報を見るのに show statistics アクセラレータ ssl コマンドを使用して下さい。 WAE7326# show statistics accelerator ssl

SSL:

Global Statistics

-----------------

Time Accelerator was started: Mon Nov 10 15:28:47 2008

Time Statistics were Last Reset/Cleared: Mon Nov 10 15:28:47 2008

Total Handled Connections: 17 <-------

---------

Total Optimized Connections: 17 <-------

---------

Total Connections Handed-off with Compression Policies Unchanged: 0 <-------

---------

Total Dropped Connections: 0 <-------

---------

Current Active Connections: 0

Current Pending Connections: 0

Maximum Active Connections: 3

Total LAN Bytes Read: 25277124 <-------

---------

Total Reads on LAN: 5798 <-------

---------

Total LAN Bytes Written: 6398 <-------

---------

Total Writes on LAN: 51 <-------

---------

Total WAN Bytes Read: 43989 <-------

---------

Total Reads on WAN: 2533 <-------

---------

Total WAN Bytes Written: 10829055 <-------

---------

Total Writes on WAN: 3072 <-------

---------

. . . 壊れるセッションおよび証明書確認統計情報はトラブルシューティングに役立ちます、showstatistics アクセラレータ ssl コマンドの次のフィルタの使用によってより簡単に取得されます: WAE# show statistics accelerator ssl | inc Failed

Total Failed Handshakes: 47

Total Failed Certificate Verifications: 28

Failed certificate verifications due to invalid certificates: 28

Failed Certificate Verifications based on OCSP Check: 0

Failed Certificate Verifications (non OCSP): 28

Total Failed Certificate Verifications due to Other Errors: 0

Total Failed OCSP Requests: 0

Total Failed OCSP Requests due to Other Errors: 0

Total Failed OCSP Requests due to Connection Errors: 0

Total Failed OCSP Requests due to Connection Timeouts: 0

Total Failed OCSP Requests due to Insufficient Resources: 0 DNS 関連統計情報はサーバ名およびワイルドカードドメインの設定をトラブルシューティングするために役立ちます。次の通り、これらの統計情報を取得するために show statistics アクセラレータ ssl コマンドを使用して下さい: WAE# show statistics accelerator ssl

. . .

Number of forward DNS lookups issued: 18

Number of forward DNS lookups failed: 0

Number of flows with matching host names: 8

Number of reverse DNS lookups issued: 46

Number of reverse DNS lookups failed: 4

Number of reverse DNS lookups cancelled: 0

Number of flows with matching domain names: 40

Number of flows with matching any IP rule: 6

. . .

Pipe-through due to domain name mismatch: 6

. . . SSL 再ハンドシェイク関連統計情報はトラブルシューティングに役立ちま、show statistics アクセラレータ ssl コマンドの次のフィルタを使用して取得することができます: WAE# show statistics accelerator ssl | inc renegotiation

Total renegotiations requested by server: 0

Total SSL renegotiations attempted: 0

Total number of failed renegotiations: 0

Flows dropped due to renegotiation timeout: 0 WAAS デバイスが最適化された SSL 接続を確立していることを確認するのに show statistics 接続によって最適化される ssl コマンドを使用して下さい。「TDLS」が接続のための Accel カラムに現われることを確認して下さい。「次の通り SSL AO が使用されたことを S」は示します: WAE674# sh stat conn opt ssl

Current Active Optimized Flows: 3

Current Active Optimized TCP Plus Flows: 3

Current Active Optimized TCP Only Flows: 0

Current Active Optimized TCP Preposition Flows: 1

Current Active Auto-Discovery Flows: 0

Current Active Pass-Through Flows: 0

Historical Flows: 100

D:DRE,L:LZ,T:TCP Optimization,

A:AOIM,C:CIFS,E:EPM,G:GENERIC,H:HTTP,M:MAPI,N:NFS,S:SSL,V:VIDEO

ConnID Local IP:Port Remote IP:Port PeerID Accelerator

342 10.56.94.101:3406 10.10.100.100:443 0:1a:64:d3:2f:b8 TDLS <---

--Look for "S" 密接な関係があるように show statistics 接続によって閉じられる ssl コマンドの使用によって接続統計を確認できます。接続が最適化されて得ない場合、WCCP/PBR がであるかどうか確認し、非対称ルーティングがあるように正しく設定されておよびはたらきます確認して下さい。そのダイナミックポリシーが設定された SSL 加速されたサービスからの結果表示される showstatistics 接続によって最適化される ssl detail コマンドの使用によって SSL 接続統計を表示できます。注: 設定されたポリシーは TFO 最適化だけですが、完全な最適化は設定された SSL サービスの結果として適用します。 WAE674# sh stat connection optimized ssl detail

Connection Id: 1633

Peer Id: 00:14:5e:84:24:5f

Connection Type: EXTERNAL CLIENT

Start Time: Wed Jul 15 06:35:48 2009

Source IP Address: 10.10.10.10

Source Port Number: 2199

Destination IP Address: 10.10.100.100

Destination Port Number: 443

Application Name: SSL

Classifier Name: HTTPS

Map Name: basic

Directed Mode: FALSE

Preposition Flow: FALSE

Policy Details:

Configured: TCP_OPTIMIZE <------TFO only

is configured

Derived: TCP_OPTIMIZE + DRE + LZ

Peer: TCP_OPTIMIZE

Negotiated: TCP_OPTIMIZE + DRE + LZ

Applied: TCP_OPTIMIZE + DRE + LZ <------Full

optimization applied

Accelerator Details:

Configured: None

Derived: None

Applied: SSL <------SSL

acceleration applied

Hist: None

Original Optimized

-------------------- --------------------

Bytes Read: 1318 584

Bytes Written: 208 1950

. . . この出力の以降は、拡張 SSL セッション水平な詳細次の通り示されています: . . .

SSL : 1633

Time Statistics were Last Reset/Cleared: Tue Jul 10 18:23:20 2009

Total Bytes Read: 0 0

Total Bytes Written: 0 0

Memory address: 0x8117738

LAN bytes read: 1318

Number of reads on LAN fd: 4

LAN bytes written out: 208

Number of writes on LAN fd: 2

WAN bytes read: 584

Number of reads on WAN fd: 23

WAN bytes written out: 1950

Number of writes on WAN fd: 7

LAN handshake bytes read: 1318

LAN handshake bytes written out: 208

WAN handshake bytes read: 542

WAN handshake bytes written out: 1424

AO bytes read: 0

Number of reads on AO fd: 0

AO bytes written out: 0

Number of writes on AO fd: 0

DRE bytes read: 10

Number of reads on DRE fd: 1

DRE bytes written out: 10

Number of writes on DRE fd: 1

Number of renegotiations requested by server: 0

Number of SSL renegotiations performed: 0

Flow state: 0x00080000

LAN work items: 1

LAN conn state: READ

LAN SSL state: SSLOK (0x3)

WAN work items: 0

WAN conn state: READ

WAN SSL state: SSLOK (0x3)

W2W work items: 1

W2W conn state: READ

W2W SSL state: SSLOK (0x3)

AO work items: 1

AO conn state: READ

●

❍

❍

●

●

❍

❍

DRE work items: 1

DRE conn state: READ

Hostname in HTTP CONNECT: <-----

Added in 4.1.5

IP Address in HTTP CONNECT: <-----

Added in 4.1.5

TCP Port in HTTP CONNECT: <-----

Added in 4.1.5 SSL AO ハンドオフ接続への HTTP AO のトラブルシューティング HTTPS サーバに達することをクライアントがプロキシを通過する必要がある場合クライアント要求はプロキシに HTTP CONNECT メッセージとして最初に行きます（CONNECT メッセージで組み込まれて実際の HTTPS サーバのIPアドレスが）。この時点で、HTTP AO はピア WAEs のこの接続を処理します。プロキシはクライアントおよびサーバポート間のトンネルを作成し、クライアントそれの間で後続データをサーバのIPアドレスおよびポート中継で送り。プロキシは接続への SSL AO を離れて「200 良い」メッセージおよびハンドのクライアントに戻ってクライアントが SSL 上のサーバに話すように意図するので応答します。クライアントはそれからプロキシによって設定された TCP 接続（トンネル）上の SSL サーバの SSL ハンドシェイクを始めます。問題を渡された接続でトラブルシューティングする場合次の事柄をチェックして下さい:

SSL AO への接続が処理され、次に HTTP AO によって渡されたことを確認するために showstatistics アクセラレータ http コマンドの出力をチェックして下さい。総処理された接続を検知し、渡される SSL カウンターへの接続を合計して下さい。問題がある場合、次を確認して下さい:

HTTP AO はピア WAEs の走行状態で有効になり。SSL 加速されたサービスは接続応答 URL でクライアントが使用するポート設定されます（または意味されたポート 443 で HTTPS が使用される場合）。多くの場合プロキシポートは接続応答 URL ポートと異なって、このプロキシポートは SSL 加速されたサービスで設定するべきではありません。ただし、HTTP AO にマッピングされるプロキシポートはトラフィック分類子に含んでいる必要があります。

この接続が SSL AO によって処理され、最適化されたことを確認するために show statisticsアクセラレータ http コマンドの出力をチェックして下さい。総処理された接続を検知し、最適化された接続カウンターを合計して下さい。統計カウンターが正しくない場合、前のセクションに記述されているように基本的な SSL トラブルシューティングを行って下さい。データセンタ WAE で、show statistics 接続によって最適化される detail コマンド出力が実際の SSL サーバのホスト名-、IP アドレスおよび TCPポートを示したものですことを確認して下さい。これらのフィールドが正しく設定されない場合、次をチェックして下さい:

クライアントブラウザプロキシ設定が正しいことを確認して下さい。DNSサーバがデータセンタ WAE で設定され、到達可能であることを確認して下さい。 ip name-server A.B.C.D コマンドで WAE の DNSサーバを設定できます。

トラブルシューティングサーバ証明書の認証サーバ証明書の認証はデータセンタ WAE に正しい CA 認証をインポートすることを必要とします。サーバ証明書の認証を解決するために次の手順に従って下さい: 1. サーバ証明を点検し、発行人名を取得して下さい。サーバ証明内のこの発行人名は一致する

CA 認証内のサブジェクト名を一致する必要があります。 PEM によって符号化される証明書がある場合、インストールされる openssl とサーバの次の openssl コマンドを使用できます: > openssl x509 –in cert-file-name –noout –text 2. それに show running-config コマンドの使用によってデータセンタ WAE で存在する一致する暗号 PKI カリフォルニア設定を確認して下さい。確認プロセスで WAE が使用される CA 認証に関してはインポートされる暗号 PKI カリフォルニアコンフィギュレーションアイテムが各 CA 認証に必要となります。たとえば CA 認証 company1.ca がインポートされれば、そして次の設定はデータセンタ WAE で作成する必要があります: > openssl x509 –in cert-file-name –noout –text 注: CA 認証が中央マネージャGUI を使用してインポートされる場合、中央マネージャは自動的にインポートされた CA 認証を含むために上の暗号 PKI カリフォルニア設定を追加します。ただしCA 認証が CLI によってインポートされれば、そして手動で上の設定を追加する必要があります。 3. 確認される証明書が証明書チェーンが含まれている場合、証明書チェーンが凝集性である、最上発行人の CA 認証は WAE でインポートされますことを確認すれば。証明書を別々に確認する openssl verify コマンドを最初に使用して下さい。 4. 確認がそれでも失敗した場合、SSL アクセラレータデバッグログを検査して下さい。デバッグロギングを有効にする次のコマンドを使用して下さい: wae# config

wae(config)# logging disk priority debug

wae(config)# logging disk enable

wae(config)# exit

wae# undebug all

wae# debug accelerator ssl verify

wae# debug tfo connection all 5. テスト接続を開始し、次に /local/local1/errorlog/sslao-errorlog.current ログファイルを検査して下さい。このファイルはサーバ証明に含まれていた発行人名を示す必要があります。この発行人名が CA 認証のサブジェクト名を完全に一致するようにして下さい。ログに他の Internal エラーがある場合、追加デバッグオプションを有効にすることは有用かもしれません。 6. 発行人名およびサブジェクト名マッチが、CA 認証正しいものではないかもしれなくても。このような場合サーバ証明がよく知られているな CA によって発行されれば、そしてブラウザは直接に（WAAS なしで）達しますサーバに使用することができます。ブラウザが接続を設定したときに、証明書はブラウザウィンドウのまたはブラウザのアドレスバー内の右下で現われるロックアイコンをクリックして検査することができます。証明書の詳細はこのサーバ証明と一致する適切な CA 認証を示すかもしれません。 CA 認証内の Serial Number フィールドをチェックして下さい。このシリアル番号はデータセンタ WAE でインポートされている証明書のシリアル番号を一致する必要があります。 7. OCSP 取り消しチェックを有効にしてもらう場合それを無効にし、証明書確認がそれ自体はたらくことを確認して下さい。 OCSP 設定のトラブルシューティングヘルプに関してはセクションを「チェックする」OCSP 失効のトラブルシューティングを参照して下さい。

1.2.

3.

4.

5.

6.

トラブルシューティング顧客証明書確認クライアント認証の確認は起源サーバでおよび/またはデータセンタ WAE で有効になるかもしれません。 SSL トラフィックを加速するのに WAAS が使用されているとき起源サーバによって受け取ったクライアント認証はマシン証明書キーが設定されない場合データセンタ WAE またはデータセンタ WAE マシン自己署名入り認証の暗号 ssl サービスグローバルな設定コマンドで規定されるマシン証明書キーで示される証明書です。その結果、顧客証明書確認が起源サーバで失敗すれば、データセンタ WAE マシン認証が起源サーバで証明できないそうかもしれません。データセンタ WAE の顧客証明書確認がはたらかない場合、クライアント認証と一致する CA 認証がデータセンタ WAE でインポートされないので本当らしいです。指示については「参照しまサーバ証明書の認証」のセクションを WAE でインポートされる正しい CA 認証があるかどうか確認する方法をトラブルシューティング。トラブルシューティングピア WAE 証明書確認ピア認証確認問題を解決するために次の手順に従って下さい: 1. 確認される証明書が CA 署名入り認証であることを確認して下さい。 1 WAE による自己署名入り認証は別の WAE によって証明できません。 WAEs に自己署名入り認証がデフォルトでロードされます。自己署名入り認証は暗号 ssl サービスグローバルな設定マシン証明書キーコマンドを使用して設定する必要があります。 2. 正しい CA 認証が証明書を確認しているデバイスでロードされることを確認して下さい。たとえば、ピア証明書確認しなさいブランチ WAE 証明書が CA 署名付きであることができる同じ署名 CA の証明書はデータセンタ WAE でインポートする必要がありますようにデータセンタWAE、そしてそれでです必要設定され。 CLI によって証明書を手動でインポートする場合暗号PKI カリフォルニアコマンドを使用して CA をインポートされた証明を使用するために作成することを忘れないで下さい。中央マネージャGUI によってインポートされたとき、中央マネージャは自動的に一致する暗号 PKI カリフォルニア設定を作成します。 3. ピア WAE の確認がそれでも失敗した場合、「SSL AO ロギング」セクションに記述されているようにデバッグログをチェックして下さい。 OCSP 失効チェックのトラブルシューティングシステムに有効になるオンライン認証ステータスプロトコル（OCSP）取り消しチェックを用いる正常な SSL 接続をするトラブルがある場合トラブルシューティングの手順に従って下さい:

OCSP 応答側サービスが応答側サーバで実行されていることを確認して下さい。WAE と応答側間のよい接続を確認して下さい。チェックする WAE からの PING および telnet コマンドを（適切なポートに）使用して下さい。検証される証明書が全く有効であることを確認して下さい。満期日および正しい応答側URL は一般的に問題のエリアです。OCSP 応答のための証明書が WAE でインポートされることを確認して下さい。 OCSP 応答側からの応答はまた署名し、OCSP 応答と一致する CA 認証は WAE に常駐する必要があります。OCSP 統計情報があるように確認し、OCSP 失敗に相当してカウンターをチェックするために show statistics アクセラレータ ssl コマンド出力をチェックして下さい。OCSP HTTP接続が HTTP プロキシを通過する場合、プロキシを助けるかどうか見るために無効にすることを試みて下さい。それが助ける場合、プロキシコンフィギュレーションに

7.

●

●

より接続障害を引き起こしていないことを確認して下さい。プロキシコンフィギュレーションがうまくある場合、プロキシの非互換性を引き起こすかもしれない HTTP ヘッダ特性があるかもしれません。より詳しい調査のためのパケットトレースをキャプチャして下さい。すべてが失敗した場合、それ以上のデバッグのための発信 OCSP 要求のパケットトレースをキャプチャしなければならないことができます。パケット」をキャプチャし、分析している tcpdump か tethereal コマンドを「予備 WAAS トラブルシューティング技術情報セクションに記述されているようにで使用できます。

OCSP 応答側に達するのにデータセンタ WAE によって使用される URL が 2 つの方法の 1 つで得られます:

暗号 PKI グローバルな設定設定コマンドによって設定されるスタティック OCSP URLチェックされる証明書で規定される OCSP URL

URL がチェックされる証明書から得られる場合 URL が到達可能であることを確認することは必要です。 URL を判別し、次に応答側に接続があるように確認するために SSL アクセラレータOCSP デバッグログをイネーブルに設定して下さい。デバッグログの使用の詳細については次のセクションを参照して下さい。 DNS 設定のトラブルシューティングシステムにサーバ名およびサーバドメインの設定を用いる SSL 接続を最適化するトラブルがある場合トラブルシューティングの手順に従って下さい: 1. WAE で設定される DNSサーバが到達可能で、名前を変換できることを確認して下さい。設定された DNSサーバをチェックするのに次のコマンドを使用して下さい: WAE# sh running-config | include name-server

ip name-server 2.53.4.3

Try to perform DNS or reverse DNS lookup on the WAE using the following commands:

WAE# dnslookup www.cisco.com

The specified host/domain name is unknown ! この応答は名前が設定されたネームサーバによって変換することができないことを示します。到達可能性および Round Trip Time をチェックするために設定されたネームサーバのためのPING/traceoute を試みて下さい。 WAE# ping 2.53.4.3

PING 2.53.4.3 (2.53.4.3) 56(84) bytes of data.

--- 2.53.4.3 ping statistics ---

5 packets transmitted, 0 received, 100% packet loss, time 4008ms WAE# traceroute 2.53.4.3

traceroute to 2.53.4.3 (2.53.4.3), 30 hops max, 38 byte packets

1 2.53.4.33 (2.53.4.33) 0.604 ms 0.288 ms 0.405 ms

2 * * *

3 * * *

4 * * *

5 * * *

preliminary_waas_troubleshooting.html#Capturing_and_Analyzing_Packets



2. であり、それでも SSL 接続が最適化されて名前を変換でき、DNSサーバが到達可能得なかったら、特定のドメインかホスト名を設定している加速されたサービスがアクティブであり、SSLAO のためのアラームがないことを確かめて下さい。コマンドの後で使用して下さい: WAE# show alarms

Critical Alarms:

----------------

Alarm ID Module/Submodule Instance

--------------- -------------------- ---------------

1 accl_svc_inactive sslao/ASVC/asvc-host accl_svc_inactive

2 accl_svc_inactive sslao/ASVC/asvc-domain accl_svc_inactive

Major Alarms:

-------------

None

Minor Alarms:

-------------

None 「accl_svc_inactive」アラームの存在は加速されたサービス設定に不一致があり、Server エントリのためのオーバーラップ設定を持っている 1つ以上の加速されたサービスがあるかもしれませんこと表示です。加速されたサービス設定をチェックし、設定が正しいことを確かめて下さい。設定を確認するのに次のコマンドを使用して下さい: WAE# show crypto ssl accelerated service

Accelerated Service Config State Oper State Cookie

------------------- ------------ ----------- ------

asvc-ip ACTIVE ACTIVE 0

asvc-host ACTIVE INACTIVE 1

asvc-domain ACTIVE INACTIVE 2 チェックするために特定の加速されたサービスについての詳細は次のコマンドを使用します: WAE# show crypto ssl accelerated service asvc-host

Name: asvc-host

Config state: ACTIVE, Oper state: INACTIVE, Cookie: 0x3, Error vector: 0x0

No server IP addresses are configured

The following server host names are configured:

lnxserv.shilpa.com port 443

Host 'lnxserv.shilpa.com' resolves to following IPs:

--none--

No server domain names are configured 加速されたサービスのオペレーショナルステートが非アクティブであるかもしれませんという 1つの原因は DNS 失敗です。たとえば加速されたサービス設定にサーバホスト名があり、WAEがサーバのIPアドレスを解決できなければそして適切なダイナミックポリシーを設定できません。 3. 「適合しないドメイン名原因で」がパイプによる統計カウンタがのための増加する場合、それは最適化のために設定される SSL 接続がサーバのためであるというしるしです。続くコマンドを使用してポリシー Engine エントリをチェックして下さい: WAE# show crypto ssl accelerated service asvc-host

●

●

1.

Name: asvc-host

Config state: ACTIVE, Oper state: INACTIVE, Cookie: 0x3, Error vector: 0x0

No server IP addresses are configured


lnxserv.shilpa.com port 443

Host 'lnxserv.shilpa.com' resolves to following IPs:

--none--

No server domain names are configured show statistics connection コマンドを使用して接続ステータスをチェックして下さい。最初の接続は TSGDL のアクセラレータを示し、それに続く接続は、まで TIME_DENY ポリシーエントリのライフタイム、TDL であるはずです。 4. DNSサーバがデータセンタ WAE に関して WAN を渡ってあるか、または反転 DNS 応答時間が破棄されるには余りにも長ければ、いくつかの接続はかもしれないです。これはクライアントタイムアウトおよび rDNS 応答時間によって決まります。この場合、「取り消される」リバースDNS ルックアップの数のためのカウンターは増え、接続は破棄されます。この状況は DNSサーバが敏感またはあまり遅くないおよび/または WAAS の NSCD がはたらいていないこと示す値です。 NSCD ステータスは show alarms コマンドを使用してチェックすることができます。起こるこれの確率はほとんどの配備で、DNSサーバがデータセンタ WAE と同じ LAN であると期待されるので非常に低いです。 SSL AO チェーニングへの HTTP のトラブルシューティング注: SSL AO チェーニングへの HTTP は WAAS バージョン 4.3.1 で導入されました。このセクションは以前の WAAS バージョンへ適用されないです。連鎖は AO がフローの一生の間に別の AO をいつでも挿入するようにし、AO は両方ともフローで AO 仕様最適化を独自に適用できます。 AO チェーニングは AO と最初の AO を連鎖することがフローを最適化し続けるので pre-4.3.1 リリースの WAAS によって提供される AO ハンドオフ機能と異なっています。 SSL AO は 2 つの接続の種類を処理します:

Byte-0 SSL: SSL AO は接続を最初に受信し、SSL ハンドシェイクを完了します。それはHTTP 方式があるように確認するためにペイロードの最初の一部を解析します。ペイロードが HTTP を示す場合、HTTP AO を挿入します; そうでなかったら、それは規則的な TSDL 最適化を適用します。プロキシ接続応答: HTTP AO は接続を最初に受信します。それはプロキシが 200 の OK メッセージと確認した後クライアント要求の接続応答ヘッダ方式を識別し、SSL AO を挿入します。

次の HTTP メソッドを検出する SSL AO は lightweight HTTP パーサーを使用します: GET は、ヘッダー、POST、オプション、トレース、COPY（ビット 0）、LOCK、POLL、BCOPY、BMOVE、MKCOL、削除、検索置きましたり、BDELETE、PROPFIND、BPROPFIND、PROPPATCH ロック解除しましたり、BPROPPATCH 定期講読しましたり、およびX__MS_ENUMATTS 定期講読を解除します。パーサーに関する問題をデバッグするのにデバッグアクセラレータ ssl パーサーコマンドを使用できます。提示統計 accel ssl ペイロード http/ペイロードのタイプに基づいて分類されるトラフィックの統計情報を表示するのに他のコマンドを使用できます。トラブルシューティングに役立つヒント:

これが HTTP AO によって所有されると同時に HTTPS 機能が HTTP AO 設定で有効になることを確かめて下さい。詳細については、トラブルシューティングを HTTP AO 技術情報参

troubleshooting_the_http_ao.html

2.

3.

4.5.

6.

7.

8.

9.

照して下さい。提示 stat connection コマンドを使用している接続状態をチェックして下さい。正しく最適化されたら、それは TCP、HTTP、SSL および DRE-LZ 最適化を示す THSDL を示す必要があります。これらの最適化のうちのどれかが抜けている場合、そのオプティマイザー（SSL、HTTP、等）で更にデバッグして下さい。たとえば、接続状態が THDL を示せば、SSL が接続で最適化適用されなかったことを意味します。 SSL AO へのデバッグ関する問題の詳細は続きます。SSL AO が有効になり、走行状態にあることを確かめて下さい（セクションが「SSL AO」のトラブルシューティング見て下さい）。show alarms コマンドのことを使用によってアラーム行わないことを確かめて下さい。SSL トラフィックが最適化されない場合、サーバのIPアドレス、ホスト名、または domain-name およびポート番号が加速されたサービスの一部として追加されることを確かめて下さい。加速されたサービス ASVC 名前コマンドことを加速されたサービスが ACTIVE 状態に提示暗号 ssl サービスの利用によってあることを確かめま（「参照しま DNS 設定」セクションをトラブルシューティングします）。ポリシーエンジンに提示ポリシーエンジンアプリケーション dynamic コマンドのことを使用によってこのサーバのためのエントリおよびポートがあることを確かめて下さい。宛先サーバがデフォルト以外のポートの SSL を（使用していればデフォルトはこれがポリシーエンジン設定に反映されることを、確かめます 443）あります。中央マネージャはSSL トラフィックデータを報告するためのこの情報に頼ります。提示暗号 ssl サービスの利用によって有効なIP アドレスに設定されたホスト名解決を加速されたサービス ASVC 名前コマンド確かめて下さい。 IP アドレスがない場合、ネームサーバが正しく設定されるかどうか確認して下さい。また dnslookup Ip address コマンドの出力をチェックして下さい。

wae# sh run no-policy

. . .

crypto ssl services accelerated-service sslc

version all

server-cert-key test.p12

server-ip 2.75.167.2 port 4433

server-ip any port 443

server-name mail.yahoo.com port 443

server-name mail.google.com port 443

inservice wae# sh crypto ssl services accelerated-service sslc

Name: sslc

Config state: ACTIVE, Oper state: ACTIVE, Cookie: 0x0, Error vector: 0x0

The following server IP addresses are configured:

2.75.167.2 port 4433

any port 443


mail.yahoo.com port 443

Host 'mail.yahoo.com' resolves to following IPs:

66.163.169.186

mail.google.com port 443

Host 'mail.google.com' resolves to following IPs:

●

●

74.125.19.17

74.125.19.18

74.125.19.19

74.125.19.83 wae# dnslookup mail.yahoo.com

Official hostname: login.lga1.b.yahoo.com

address: 66.163.169.186

Aliases: mail.yahoo.com

Aliases: login.yahoo.com

Aliases: login-global.lgg1.b.yahoo.com

wae# dnslookup mail.google.com

Official hostname: googlemail.l.google.com

address: 74.125.19.83

address: 74.125.19.17

address: 74.125.19.19

address: 74.125.19.18

Aliases: mail.google.com SSL AO ロギング次のログファイルは SSL AO 問題を解決するために利用できます:

トランザクションログファイル: /local1/logs/tfo/working.log （および/local1/logs/tfo/tfo_log_*.txt）デバッグログファイル: /local1/errorlog/sslao-errorlog.current （および sslao-errorlog.*）

より容易なデバッグに関しては、最初に 1 ホストにパケットを制限するために ACL を設定する必要があります。 WAE674(config)# ip access-list extended 150 permit tcp host 10.10.10.10 any

WAE674(config)# ip access-list extended 150 permit tcp any host 10.10.10.10 次の通りトランザクションロギングを有効にするために、トランザクションログ設定コマンドを使用して下さい: wae(config)# transaction-logs flow enable

wae(config)# transaction-logs flow access-list 150 型末尾コマンドの使用によってトランザクションログファイルの端を表示できます次の通り: wae# type-tail tfo_log_10.10.11.230_20090715_130000.txt

Wed Jul 15 14:35:48 2009 :1633 :10.10.10.10 :2199 :10.10.100.100 :443 :OT :START :EXTERNAL

CLIENT :00.14.5e.84.24.5f :basic

:SSL :HTTPS :F :(TFO) (DRE,LZ,TFO) (TFO) (DRE,LZ,TFO) (DRE,LZ,TFO) :<None> :(None) (None)

(SSL) :<None> :<None> :0 :332

Wed Jul 15 14:36:06

2009 :1633 :10.10.10.10 :2199 :10.10.100.100 :443 :SODRE :END :165 :15978764 :63429 :10339 :0

Wed Jul 15 14:36:06 2009 :1633 :10.10.10.10 :2199 :10.10.100.100 :443 :OT :END :EXTERNAL

CLIENT :(SSL) :468 :16001952 :80805 :27824 SSL AO のデバッグロギングを設定し、有効にするために、次のコマンドを使用して下さい。注: デバッグロギングは CPU 中心で、多量の出力を生成できます。実稼働環境でそれを賢明におよび控え目に使用して下さい。

次の通りディスクに詳しいロギングを有効にすることができます: WAE674(config)# logging disk enable

WAE674(config)# logging disk priority detail 次の通り ACL の接続のためのデバッグロギングを有効にすることができます: WAE674# debug connection access-list 150 SSL AO デバッグのためのオプションは次の通りです: WAE674# debug accelerator ssl ?

accelerated-svc enable accelerated service debugs

alarm enable SSL AO alarm debugs

all enable all SSL accelerator debugs

am enable auth manager debugs

am-generic-svc enable am generic service debugs

bio enable bio layer debugs

ca enable cert auth module debugs

ca-pool enable cert auth pool debugs

cipherlist enable cipherlist debugs

client-to-server enable client-to-server datapath debugs

dataserver enable dataserver debugs

flow-shutdown enable flow shutdown debugs

generic enable generic debugs

ocsp enable ocsp debugs

oom-manager enable oom-manager debugs

openssl-internal enable opnessl internal debugs

peering-svc enable peering service debugs

session-cache enable session cache debugs

shell enable SSL shell debugs

sm-alert enable session manager alert debugs

sm-generic enable session manager generic debugs

sm-io enable session manager i/o debugs

sm-pipethrough enable sm pipethrough debugs

synchronization enable synchronization debugs

verify enable certificate verification debugs

waas-to-waas enable waas-to-waas datapath debugs 次の通り SSL 接続のためのデバッグロギングを有効にし、次にデバッグエラーログの端を表示することができます: WAE674# debug accelerator ssl all

WAE674# debug connection all

Enabling debug messages for all connections.

Are you sure you want to do this? (y/n) [n]y

WAE674# type-tail errorlog/sslao-errorlog.current follow NME および SRE モジュールのトラブルシューティング証明書終止アラーム SSL AO はアラームをとき自己署名マシン認証切れた生成します（または 30 日の満了以内にあり、）カスタムグローバルなマシン認証は WAAS デバイスで設定されません。 WAAS ソフトウェアは WAAS デバイスの最初の始動からの 5 年の有効期限が付いているファクトリ自己署名証明書を生成します。すべての WAAS NME および SRE モジュールのクロックは最初始動の間に 2006 年 1月 1 日に

●

●

NME または SRE モジュールが最近であるのに、設定されます。これにより自己署名証明書は2011 年 1月 1 日切れます、デバイスは認証満了アラームを生成します。グローバルな証明書としてデフォルトファクトリ証明書を使用していなくて、SSL AO のために代りにカスタム証明書を使用していれば、この予想外満了を経験しないし、切れる時はいつでもカスタム証明書をアップデートできます。また新しいソフトウェアイメージの NME またはSME モジュールをアップデートし、最近の日付にクロックを同期化したら、この問題に直面しないことができます。認証満了の徴候は次のいずれかのアラームをです（show alarms コマンドの出力でここに表示される）: WAE674# debug accelerator ssl all




WAE674# type-tail errorlog/sslao-errorlog.current follow または WAE674# debug accelerator ssl all




WAE674# type-tail errorlog/sslao-errorlog.current follow 本部マネージャGUI は次のアラームを報告します: "Certificate__waas-self__.p12 はグローバルな設定のマシン証明書で」設定される近い有効期限ですこの問題を解決するのに次のいずれかのソリューションを使用できます:

グローバルな設定のための別の証明書を設定して下さい:

SRE# crypto generate self-signed-cert waas-self.p12 rsa modulus 1024

SRE# config

SRE(config)# crypto ssl services global-settings machine-cert-key waas-self.p12

より遅い有効期限が付いている自己署名ファクトリ証明書をアップデートして下さい。このソリューションは連絡 Cisco TAC によって得ることができるスクリプトを必要とします。

注: この問題は WAAS ソフトウェアバージョン 4.1.7b、4.2.3c、および 4.3.3 でリリースされる警告 CSCte05426 の解像度によって解決されます。認証有効期限は 2037 に変更されます。

リリース 4.1.3 およびそれ以降のための cisco waas トラブル … · 2.9 nme...

Documents