[openGPS.cn] 季雨林 2019/9/12 23:54:02
突然发现,我的网站打不开了,原因是证书到期,这已经是本站使用的第三个证书,最早启用https,还得感谢腾讯云领头在国内支持的免费SSL,当初就是因为这一点,一直使用腾讯云提供的免费SSL至今。
先不闲聊,赶紧修复问题:
1,新买SSL证书:
之前的证书,连续3年用了腾讯的免费证书。买+配置,应该也就几分钟搞定。然而却遇到问题:文件验证环节不成功!
2,证书绑定和验证:
由于网站当前帐号只是https服务。然而买证书需要使用文件验证。我域名不在腾讯云管理。因此腾讯云这边就只能提供一个文件验证的验证方式。在此吐个槽:腾讯云的SSL证书验证域名不能手动点击触发检测!只能耐心等待 CA 机构扫描审核!
在这一环节,我还多绕了个弯:由于我启用了CDN,不停掉启用了https的CDN现在是不能正常访问文件的!所以需要赶紧去停用CDN加速,可是停用也需要时间啊。还好,大概也就几分钟就变回了源站解析地址。另外,cdn下启用了https,但是https途径当前不可用,需要临时放行http,这样一来源站也得先停用证书。
3,换个思路:在阿里云买SSL证书
由于域名当前使用的是阿里云DNS,所以在阿里云配置证书也就可以使用自动DNS验证,或者手动DNS验证。我选择了自动,从而在当前https不能正常访问的情况下就通过验证。
这里表扬下阿里云,购买这个证书后,在控制台点击申请,填写资料提交,然后一点就生效,回到列表页点申请,在刷新页面就已经签发了,然后可以选择下载自己需要的证书文件。SSL证书文件有5个版本:IIS,Nginx,Apatch,Tomcat和其他。虽然我使用的是IIS,但是本次配置方案里,我服务端不需要启用https。因此我下载Nginx版的pem文件和key文件,去CDN控制台重新配置https即可恢复网站的https服务。
4,取消服务器源站证书配置
之前一直是前后端全用https,这样也好也不好:好在从边缘服务器到源站服务器这段网络路程也安全,坏在这段路程额外浪费加解密的代价。本次更新决定这段相对安全的网络途径取消https。
最终通道效果:客户通过https访问cdn加速的边缘服务器,然后走http回源站请求数据!
原文地址:
https://www.opengps.cn/Blog/View.aspx?id=439
文章的更新编辑依此链接为准。欢迎关注源站原创文章!