コンテンツにスキップ

トラブルシューティング

ログを確認する

ログを確認するには、以下のようなコマンドを使用します。

  • systemd: sudo journalctl -f -u gokeyless
  • upstart/sysvinit: sudo tail -f /var/log/gokeyless.log

デバッグログを有効にする

デバッグログを有効にするには、以下のようなコマンドを使用します。

Terminal window
cd /etc/keyless
sudo -u keyless gokeyless --loglevel 0

ブラウザが接続を試みた後にTLS接続失敗を表示している

  1. キーサーバーがネットワーク外からアクセス可能であることを確認してください (tcp/2407)。
  2. パケットキャプチャを提供します: sudo tcpdump -nni <interface> -s 0 -w keyless-$(date +%s).pcap port 2407

クライアントが接続してすぐに中止している

デバッグログを有効にしてgokeylessを実行し、以下のようなログが表示される場合:

[DEBUG] connection 162.158.57.220:37490: reading half closed by client
[DEBUG] connection 162.158.57.220:37490: server closing connection
[DEBUG] connection 162.158.57.220:37490 removed
[DEBUG] spawning new connection: 162.158.57.220:37862
[DEBUG] connection 162.158.57.220:37862: reading half closed by client
[DEBUG] connection 162.158.57.220:37862: server closing connection
[DEBUG] connection 162.158.57.220:37862 removed

これらのログは、キーサーバーが適切なサーバーまたは.PEMファイルを使用しておらず、クライアントが証明書交換後に接続を中止していることを示している可能性があります。証明書はキーレスCAによって署名されている必要があり、SANにはキーレスサーバーのホスト名が含まれている必要があります。以下は、11aa40b4a5db06d4889e48e2f.example.comにあるキーレスサーバーの有効な例です(Subject Alternative NameとAuthority Key Identifierに注意):

Terminal window
openssl x509 -in server.pem -noout -text -certopt no_subject,no_header,no_version,no_serial,no_signame,no_validity,no_subject,no_issuer,no_pubkey,no_sigdump,no_aux | sed -e 's/^        //'
X509v3 extensions:
    X509v3 Key Usage: critical
        Digital Signature, Key Encipherment
    X509v3 Extended Key Usage:
        TLS Web Server Authentication
    X509v3 Basic Constraints: critical
        CA:FALSE
    X509v3 Subject Key Identifier:
        DD:24:97:F1:A9:F1:4C:73:D9:1B:44:EC:A1:C3:10:E9:F0:41:98:BB
    X509v3 Authority Key Identifier:
        keyid:29:CE:8F:F1:9D:4C:BA:DE:55:78:D7:A6:29:E9:C5:FD:1D:9D:21:48


    X509v3 Subject Alternative Name:
        DNS:11aa40b4a5db06d4889e48e2f.example.com
    X509v3 CRL Distribution Points:


        Full Name:
          URI:http://ca.cfdata.org/api/v1/crl/key_server

gokeylessバイナリがCAファイルを読み込めない

サーバーにインストールされているすべてのキーと証明書の権限が正しいことを確認してください。

キーレスが予期しないホストに影響を与えている

特定のホストのみに対して証明書を提供するか、CloudflareダッシュボードのSSL/TLSアプリで証明書の優先順位を変更する必要があります。

Windows上のキーサーバー

現在、サポートされているGNU/Linuxディストリビューション用のパッケージのみを提供しています https://pkg.cloudflare.com/

ただし、キーサーバーはオープンソースであるため、バイナリをビルドしてデプロイすることは可能ですが、Windowsでの実行はサポートされていない構成であるため、問題が発生する可能性があり、その場合はサポートできません。

キーサーバーのマルチドメインサポート

同じキーサーバーを複数のドメインで使用できます。

ただし、その場合は、新しいドメインのホスト名とゾーンIDをgokeyless.yamlファイルに追加する必要があります。

追加の質問

アカウントチームまたはCloudflareサポートにお問い合わせください。

Cloudflare DashboardDiscordCommunityLearning CenterSupport Portal
Cookie Settings