我设置了一个Azure流量管理器来监视通过公共IP地址公开的HTTPS服务。
当我将健康探针设置为TCP/443时,探测器正常工作,端点在线显示。
当我将端口443上的https探针设置为/images/favicon.ico时,请使用适当的主机:和用户 - 代理:我已经确认通过curl-k通过命令行进行的标题,甚至设置允许允许http return return codes到100-599,探针仍然显示出降级。
我想知道这是否是因为我们使用了高度安全的(qualys ssl检查器上的a 评分)SSL Cipher Suite,并且仅允许TLS 1.2 ,并且Azure交通管理器监视器有SSL握手失败?
有什么方法可以验证这一点?
我们网站允许的密码是:
- tls_ecdhe_rsa_with_aes_128_gcm_sha256(0xc02f)ECDH X25519(等式。3072位rsa)fs
- tls_ecdhe_rsa_with_aes_256_gcm_sha384(0xc030)ECDH X25519(等式。3072位rsa)fs
又只允许TLS 1.2。
编辑:我们的服务器提供SNI证书。据说这些是"不支持的",而不仅仅是"未经验证"。这是什么打破HTTPS健康探针?
https://learn.microsoft.com/en-us/azure/traffic-manager/traffic-manager-faqs#can-i-monitor-https-endpoints
我建议您在VM中捕获数据包捕获,然后关注TLS对话并检查其失败的位置。另外,您可以检查TM用来探测VM的TLS版本是什么。
我认为它在TLS中失败,因此您没有从服务器接收状态代码。