关于 ssl 证书替换的问题，有阿里云运维大佬吗

21 小时 49 分钟前

5261

公司运维被优化了，小开发被迫营业需要兼顾下线上运维的活

目前遇到 ssl 证书即将过期问题

请求的路径如下

传统型 clb （负载均衡）-> 两台 nginx （ ecs 服务器）

我看了下还有接入 waf （ web 应用防火墙）

一开始在腾讯云上申请了免费 ssl 证书，然后直接替换到 nginx 两台机器上，但是证书格式貌似还不太一样原来的证书文件有 xx.cer 和 xx.key , 但是申请下来的证书是 xx.crt 和 xx.key

替换后发现证书有效期依旧没变化

后来我就直接在阿里云上申请免费证书，上传证书，在 waf 内部替换掉后，查看证书有效期就是最新的了

疑问点 1 、是不是只要在 waf 内部替换掉 ssl 证书就可以了呢？ 2 、那 nginx 服务器上的证书没替换是否有影响呢？

1549 次点击

所在节点

程序员

23 条回复

linanzi

21 小时 42 分钟前

我理解 waf 是个中间人，替换 waf 的证书用户就可以看到。waf 是否检验 nginx 的证书应该是有相关设置的。

hefish

21 小时 41 分钟前

1 、如果 waf 后端挂的是 http ，那只要在 waf 上替换即可，否则要连着 nignx 服务器上的一并替换。
2 、如果 waf 后端是 https 的，那么不替换 nginx 上的证书会导致 waf 连 nginx 的时候证书过期。导致 waf 无法正常工作。

cheese

21 小时 39 分钟前

cer crt 直接改后缀名就行，你得确认所有的流量都走的 waf ，这样只需要替换 waf 就行。建议你都换了算了，也没啥工作量

macaodoll

21 小时 34 分钟前

直接替换 waf 的证书即可

salmon5

21 小时 30 分钟前

1 ，是的，你自己也验证了。
2 ，waf 一般基于 nginx 二开，proxy_ssl_verify 默认是 off 的，因此：
2.1 ，后端 https 服务器的证书可以和域名不匹配；
2.2 ，后端 https 服务器的证书可以无效（不在跟证书中，就是自签名证书也可以）；
2.3 ，后端 https 服务器的证书可以过期；

因此如果真的忘记遗漏了，也没影响，但是为了鲁棒性，建议也更新下。

salmon5

21 小时 26 分钟前

@salmon5 #5 后端是指 waf 反向代理的 upstream 的 https nginx 服务器

5261

21 小时 15 分钟前

@hefish 我看目前配置 waf 是配置了 https 的拦截，所以我就只替换了 waf 的证书

xycost233

21 小时 11 分钟前

waf 如果可以配置忽略后端 ssl 校验的话就可以不改，如果 waf 后端内网是可信的话也可以把后端业务切换成 http 业务

defunct9

20 小时 55 分钟前

nginx 不用挂证书，明文就好。

5261

20 小时 52 分钟前

@xycost233 能不能配置忽略后端 ssl 校验这个不清楚哪里可以看的到

FrankFang128

20 小时 29 分钟前

我用 httpsok
https://httpsok.com/p/4GId
支持：nginx 、通配符证书、七牛云、腾讯云、阿里云、CDN 、OSS 、LB （负载均衡）

goodryb

20 小时 5 分钟前

除了上面的，可以提个工单咨询一下客服

dmanbu

20 小时 3 分钟前

说你搞不懂，让公司招运维，增加就业岗位

wheat0r

19 小时 58 分钟前

网络内部的 WAF 的正确使用方法就是 HTTPS 卸载，去源服务器用明文。你只需要替换 WAF 的证书。
云 WAF 的情况下你就需要考虑 WAF 到源服务器的证书了。

sampeng

19 小时 49 分钟前

有一说一。。你问我们。。不如去提 support 。。

5261

19 小时 28 分钟前

@goodryb 等明天看结果了，证书是明天到期，要是不行就发起工单了

5261

19 小时 27 分钟前

@dmanbu 老板要说这你都搞不定？还要单独招人？网上找找教程看下不就可以了老板 pua 起来你都没办法回怼

yyttrr

18 小时 43 分钟前

waf 和 clb 都有处理证书的能力，确认一下具体是哪里处理证书的之后修改就行
过了 waf 的 clb 可以改成 tcp 类型的，缩一下规格省点钱

ttkanni

18 小时 35 分钟前

1 ，得去 WAF 和 nginx 上查看证书的配置，如果 WAF 上已经挂载 SSL 证书，那就要更新 WAF 的。

WAF 挂载证书生效，公网请求经过 WAF 就直接处理证书了，不需要后端 nginx 或者应用上的证书了。
这一种方式要注意内网互相调用可能也用了 https 、证书挂在 nginx 的情况，因此建议先更新 slb + nginx 上的证书，然后通过绑 Host 测试下内网调用证书是否生效，若生效，再更新 WAF 上的。

,2 ，如果 WAF 上没有挂载证书，那后端 slb + nginx 上配置了证书的都要更新。

realpg

16 小时 10 分钟前

waf 回源直接 http 就好了没必要 https

第 1 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1103896

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.