这是一个创建于 273 天前的主题,其中的信息可能已经有所发展或是发生改变。
公司运维被优化了,小开发被迫营业需要兼顾下线上运维的活
目前遇到 ssl 证书即将过期问题
请求的路径如下
传统型 clb (负载均衡)-> 两台 nginx ( ecs 服务器)
我看了下还有接入 waf ( web 应用防火墙 )
一开始在腾讯云上申请了免费 ssl 证书,然后直接替换到 nginx 两台机器上,但是证书格式貌似还不太一样 原来的证书文件有 xx.cer 和 xx.key , 但是申请下来的证书是 xx.crt 和 xx.key
替换后发现证书有效期依旧没变化
后来我就直接在阿里云上申请免费证书,上传证书,在 waf 内部替换掉后,查看证书有效期就是最新的了
疑问点 1 、是不是只要在 waf 内部替换掉 ssl 证书就可以了呢? 2 、那 nginx 服务器上的证书没替换是否有影响呢?
 | 1 linanzi 273 天前 我理解 waf 是个中间人,替换 waf 的证书用户就可以看到。waf 是否检验 nginx 的证书应该是有相关设置的。 |
 | 2 hefish 273 天前  1 1 、如果 waf 后端挂的是 http ,那只要在 waf 上替换即可, 否则要连着 nignx 服务器上的一并替换。 2 、如果 waf 后端是 https 的,那么不替换 nginx 上的证书会导致 waf 连 nginx 的时候证书过期。 导致 waf 无法正常工作。 |
 | 3 cheese 273 天前 cer crt 直接改后缀名就行,你得确认所有的流量都走的 waf ,这样只需要替换 waf 就行。建议你都换了算了,也没啥工作量 |
 | 4 macaodoll 273 天前 via Android 直接替换 waf 的证书即可 |
 | 5 salmon5 273 天前 1 ,是的,你自己也验证了。 2 ,waf 一般基于 nginx 二开,proxy_ssl_verify 默认是 off 的,因此: 2.1 ,后端 https 服务器的证书可以和域名不匹配; 2.2 ,后端 https 服务器的证书可以无效(不在跟证书中,就是自签名证书也可以); 2.3 ,后端 https 服务器的证书可以过期; 因此如果真的忘记遗漏了,也没影响,但是为了鲁棒性,建议也更新下。 |
 | 8 xycost233 273 天前 waf 如果可以配置忽略后端 ssl 校验的话就可以不改,如果 waf 后端内网是可信的话也可以把后端业务切换成 http 业务 |
 | 9 defunct9 273 天前 nginx 不用挂证书,明文就好。 |
 | 11 FrankFang128 273 天前 |
 | 12 goodryb 273 天前 除了上面的,可以提个工单咨询一下客服 |
 | 13 dmanbu 273 天前 说你搞不懂,让公司招运维,增加就业岗位 |
 | 14 wheat0r 273 天前 网络内部的 WAF 的正确使用方法就是 HTTPS 卸载,去源服务器用明文。你只需要替换 WAF 的证书。 云 WAF 的情况下你就需要考虑 WAF 到源服务器的证书了。 |
 | 15 sampeng 273 天前 有一说一。。你问我们。。不如去提 support 。。 |
 | 18 yyttrr 273 天前 waf 和 clb 都有处理证书的能力,确认一下具体是哪里处理证书的之后修改就行 过了 waf 的 clb 可以改成 tcp 类型的,缩一下规格省点钱 |
 | 19 ttkanni 273 天前 1 ,得去 WAF 和 nginx 上查看证书的配置,如果 WAF 上已经挂载 SSL 证书,那就要更新 WAF 的。 WAF 挂载证书生效,公网请求经过 WAF 就直接处理证书了,不需要后端 nginx 或者应用上的证书了。 这一种方式要注意内网互相调用可能也用了 https 、证书挂在 nginx 的情况,因此建议先更新 slb + nginx 上的证书,然后通过绑 Host 测试下内网调用证书是否生效,若生效,再更新 WAF 上的。 ,2 ,如果 WAF 上没有挂载证书,那后端 slb + nginx 上配置了证书的都要更新。 |
 | 20 realpg PRO waf 回源直接 http 就好了 没必要 https |
 | 21 jiangzm 273 天前 @5261 替换了肯定能立即生效,没生效说明替换不成功 一般内部不用 https ,直接 http 传输。所以内部 nginx 不需要证书 另外都接入了负载均衡为啥还要 nginx 如果是当反向代理服务器就真没必要。 直接通过 slb 转发流量到目标服务器就好了。 |
 | 24 proxychains 272 天前 waf 和源站之间用 http 就好, tls 握手明显增加链路延迟 |
 | 25 franklinyu 272 天前 via iPhone @Admstor +1 ,卷到最后害的是自己 |
 | 26 duzhuo 271 天前 @proxychains 这样是不是需要在源站做一个 ip 白名单呢 比如 allow |
 | 27 aideep 270 天前 入口是 WAF ,肯定要把 WAF 的换掉,但是如果某种情况的时候需要回源,建议还是把服务器的也换了,cer 和 crt 其实不重要,去配置文件那把 文件路径名改对应了就行。改完文件记得重载 |
 | 28 cz5424 270 天前 via iPhone 花钱买了阿里云,直接提工单不就行了,买阿里的服务好处不就在这里吗,比论坛提问有用多了 |
 | 29 ssiitotoo 269 天前 waf 默认不需要挂证书,还有需要看看你的 clb 的端口转发是走的 https 协议还是 tcp 的 443 如果是 https 协议的需要将先证书上传到负载均衡上然后替换 如果是 tcp 的 443 然后转发到 nginx 的 443 那么就需要替换 nginx 上旧的证书即可 |
| 30 proxychains 269 天前 @proxychains #24 是的.这样更安全点. |
Select Language