ssl證書小記
因公司業務需求更新https,伺服器為阿裡雲伺服器,nginx+php+mysql
證書更新流程
# 1 開啟443端口
ali雲控制台進行配置安全組規則
# 2 下載下傳證書
下載下傳證書檔案,上傳到伺服器,根據自身選用驗證方式
# 3 配置證書
根據官方檔案,然後結合自己伺服器配置,一般不會出錯,很多錯誤都是伺服器與安全組規則的問題
# 4 重新開機nginx服務
kill -HUP PID
證書驗證
驗證方法一:檔案驗證
檔案驗證較快,隻需要将檔案放到指定位置即可,推薦使用。
1、下載下傳檔案:
下載下傳專有驗證檔案 fileauth.txt檔案,下載下傳後不要編輯,不要打開,不要重命名,有效期24小時。
2、建立目錄:
在站點的根目錄下建立.well-known/pki-validation子目錄。注意第一層目錄是帶點的隐藏目錄,Windows下指令為:md ".well-known"。 将下載下傳到本地的檔案上傳到該子目錄中。如果您的站點由于某種原因無法建立隐藏目錄,選擇其它DNS驗證方式。
3、配置檢測:
(1)HTTPS配置檢測連結:https://您的域名/.well-known/pki-validation/fileauth.txt
(2)HTTP配置檢測連結:http://您的域名/.well-known/pki-validation/fileauth.txt
請確定您的主機服務商沒有屏蔽國外通路。如已屏蔽,請聯系主機服務商。
有些CA廠商會優先檢測HTTPS位址,如果開啟HTTPS協定一定要保證正确配置了證書,否則不要開啟HTTPS。
如果用了CDN、WAF等服務,請确認證書是否有效,強烈建議臨時關閉相關服務的HTTPS。
常見的錯誤:
(1)站點有多個Host,其它Host開啟了HTTPS,進而導緻該域名的HTTPS證書不可信;
(2)用了CDN、WAF等服務,開啟了HTTPS但沒有配置證書,服務商提供的預設證書進而導緻域名不比對。
配置好之後,請用浏覽器通路位址是否正常輸出内容。
常見的錯誤:
(1)檔案内容不正确;
(2)内容看起來正确,但并不正确,原因是裡面包含了HTML元素;
(3)原始位址發生了跳轉;
(4)内容已經過期。
端口占用
檢視端口占用
netstat -ntlp |grep 443
-t : 指明顯示TCP端口
-u : 指明顯示UDP端口
-l : 僅顯示監聽套接字(所謂套接字就是使應用程式能夠讀寫與收發通訊協定(protocol)與資料的程式)
-p : 顯示程序辨別符和程式名稱,每一個套接字/端口都屬于一個程式。
-n : 不進行DNS輪詢,顯示IP(可以加速操作)
防火牆設定
檢視防火牆規則
more /etc/sysconfig/iptables 指令檢視防火牆規則
1)通過vi /etc/sysconfig/iptables 進入編輯
增添一條-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT 即可
2)執行 /etc/init.d/iptables restart 指令将iptables服務重新開機
檢視:service iptables status || /etc/init.d/iptables status
關閉: service iptables stop || /etc/init.d/iptables stop
重新開機:service iptables restart|| /etc/init.d/iptables status
nginx重新開機
# 通過ps及top指令檢視程序資訊時,隻能查到相對路徑,查不到的程序的詳細資訊,如絕對路徑等。
# 這時,我們需要通過以下的方法來檢視程序的詳細資訊:
# Linux在啟動一個程序時,系統會在/proc下建立一個以PID命名的檔案夾,在該檔案夾下會有我們的程序的資訊,
# 其中包括一個名為exe的檔案即記錄了絕對路徑,通過ll或ls –l指令即可檢視
# ll /proc/PID
# cwd符号連結的是程序運作目錄;
# exe符号連接配接就是執行程式的絕對路徑;
# cmdline就是程式運作時輸入的指令行指令;
# environ記錄了程序運作時的環境變量;
# fd目錄下是程序打開或使用的檔案的符号連接配接。
# 重新開機方法
# a、定位到啟動檔案,使用腳本指令
/**/nginx -s stop / start / reload
# b、查詢nginx程序号,使用信号控制
ps -ef|grep nginx
kill -HUP PID
# 1、HUP 重新開機
# 2、QUIT 從容重新開機
# 3、TERM 快速關閉
# 4、INT 從容關閉
# 5、USR1 切換日志檔案(用于切換日志檔案和切割日志檔案)
# 6、USR2 平滑更新可執行進行
# 注意:重新開機前最好用 -t檢視一下配置檔案是否正确