ssl證書小記

因公司業務需求更新https，伺服器為阿裡雲伺服器，nginx+php+mysql

證書更新流程

# 1 開啟443端口
	ali雲控制台進行配置安全組規則
# 2 下載下傳證書
	下載下傳證書檔案，上傳到伺服器，根據自身選用驗證方式
# 3 配置證書
	根據官方檔案，然後結合自己伺服器配置，一般不會出錯，很多錯誤都是伺服器與安全組規則的問題
# 4 重新開機nginx服務
	kill -HUP PID

           

證書驗證

驗證方法一：檔案驗證

檔案驗證較快，隻需要将檔案放到指定位置即可，推薦使用。

1、下載下傳檔案：

下載下傳專有驗證檔案 fileauth.txt檔案，下載下傳後不要編輯，不要打開，不要重命名，有效期24小時。

2、建立目錄：

在站點的根目錄下建立.well-known/pki-validation子目錄。注意第一層目錄是帶點的隐藏目錄，Windows下指令為：md ".well-known"。 将下載下傳到本地的檔案上傳到該子目錄中。如果您的站點由于某種原因無法建立隐藏目錄，選擇其它DNS驗證方式。

3、配置檢測：

    （1）HTTPS配置檢測連結：https://您的域名/.well-known/pki-validation/fileauth.txt  

    （2）HTTP配置檢測連結：http://您的域名/.well-known/pki-validation/fileauth.txt 

請確定您的主機服務商沒有屏蔽國外通路。如已屏蔽，請聯系主機服務商。

有些CA廠商會優先檢測HTTPS位址，如果開啟HTTPS協定一定要保證正确配置了證書，否則不要開啟HTTPS。
如果用了CDN、WAF等服務，請确認證書是否有效，強烈建議臨時關閉相關服務的HTTPS。
常見的錯誤：
    （1）站點有多個Host，其它Host開啟了HTTPS，進而導緻該域名的HTTPS證書不可信；
    （2）用了CDN、WAF等服務，開啟了HTTPS但沒有配置證書，服務商提供的預設證書進而導緻域名不比對。

配置好之後，請用浏覽器通路位址是否正常輸出内容。
常見的錯誤：
    （1）檔案内容不正确；
    （2）内容看起來正确，但并不正确，原因是裡面包含了HTML元素；
    （3）原始位址發生了跳轉；
    （4）内容已經過期。
           

端口占用

檢視端口占用 
    netstat -ntlp |grep 443 
   -t : 指明顯示TCP端口
　　-u : 指明顯示UDP端口
　　-l : 僅顯示監聽套接字(所謂套接字就是使應用程式能夠讀寫與收發通訊協定(protocol)與資料的程式)
　　-p : 顯示程序辨別符和程式名稱，每一個套接字/端口都屬于一個程式。
　　-n : 不進行DNS輪詢，顯示IP(可以加速操作)
           

防火牆設定

檢視防火牆規則
    more /etc/sysconfig/iptables 指令檢視防火牆規則
    
    1）通過vi /etc/sysconfig/iptables 進入編輯
    增添一條-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT 即可

    2）執行 /etc/init.d/iptables restart 指令将iptables服務重新開機
    
    檢視：service iptables status || /etc/init.d/iptables status
    關閉： service iptables stop  || /etc/init.d/iptables stop
    重新開機：service iptables restart|| /etc/init.d/iptables status
           

nginx重新開機

# 通過ps及top指令檢視程序資訊時，隻能查到相對路徑，查不到的程序的詳細資訊，如絕對路徑等。
# 這時，我們需要通過以下的方法來檢視程序的詳細資訊：

# Linux在啟動一個程序時，系統會在/proc下建立一個以PID命名的檔案夾，在該檔案夾下會有我們的程序的資訊，
# 其中包括一個名為exe的檔案即記錄了絕對路徑，通過ll或ls –l指令即可檢視
# ll /proc/PID

# cwd符号連結的是程序運作目錄；
# exe符号連接配接就是執行程式的絕對路徑；
# cmdline就是程式運作時輸入的指令行指令；
# environ記錄了程序運作時的環境變量；
# fd目錄下是程序打開或使用的檔案的符号連接配接。

# 重新開機方法
# a、定位到啟動檔案，使用腳本指令
/**/nginx  -s  stop  / start / reload

# b、查詢nginx程序号，使用信号控制
	ps -ef|grep nginx
	kill -HUP PID
  # 1、HUP      重新開機
  # 2、QUIT     從容重新開機
  # 3、TERM     快速關閉
  # 4、INT      從容關閉
  # 5、USR1     切換日志檔案（用于切換日志檔案和切割日志檔案）
  # 6、USR2     平滑更新可執行進行
# 注意：重新開機前最好用 -t檢視一下配置檔案是否正确