上周的时候,公司有个域名需要配置下ssl证书,所以这个艰巨的任务落在我的头上,开始的时候,觉得没啥啊,就配个证书而已,分分钟的事儿
于是开始配置了
步骤如下:
合并证书文件
负载均衡器导入ssl证书,配置acl访问控制列表及backend
重启负载均衡和nginx
按理说,https应该会生效,但是没有,我找了负责服务器的同事,看了下阿里云的安全组,发现80和443没有放开,于是让他放开了,这是一个坑,耽误了半个小时
放开后,还是不行,这里我就纳闷了啊,配置应该没有错误,于是我增加了日志记录,发现没有日志记录,但是通过ip+443端口访问,会说握手错误,看起来这里的证书应该是起作用的
ssl在线检测,(ssllabs)一直说我的协议和加密套件不支持,我就走上了歪路,想着是不是加密组件出了问题
研究了2天加密方式及协议,毫无对策,后来灵机一动
直接把域名绑定到80端口,走http协议,你猜怎么着
为了验证是域名的问题,我找来一个已经备案的域名,去let's encrypt生成了一个免费的证书,结果直接可以走https!!!!
说道这里,问题应该明了了,走443端口的时候,阿里的直接不给你解析域名到ip上(未备案),然后浏览器收不到加密的数据,只能报证书无效或者报连接未加密无法加密您传输的数据
这里确实应该反思下,3分钟可以配置好的耽误了2天太不应该了