Cloudfare SSL 配置求助

2023-07-25 11:47:04 +08:00
 jochenshi

使用 cloudfare 的 DNS 配置了记录,并且开启了 Proxy 模式,将域名解析到腾讯的 vps ,也在 SSL 里面配置了源服务器证书,也配置到 vps 的 nginx 了
这个时候直接 https 访问 ip 是可以的 但是使用 cloudfare 的域名访问就提示:

SSL handshake failed Error code 525

请问这是为啥呢
listen 443 ssl;
ssl_certificate /home/user/cert/domain.pem;
ssl_certificate_key /home/user/cert/domain.key;
2701 次点击
所在节点    Cloudflare
33 条回复
jochenshi
2023-07-25 14:11:28 +08:00
@renfei 这个证书是 cloudfare 签发的源服务器的证书,然后安装到 vps 上面的,看下面的提示还是走了腾讯指定的 CA ?

* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
* CAfile: /etc/ssl/cert.pem
* CApath: none
* (304) (OUT), TLS handshake, Client hello (1):
} [323 bytes data]
* (304) (IN), TLS handshake, Server hello (2):
{ [122 bytes data]
* (304) (IN), TLS handshake, Unknown (8):
{ [25 bytes data]
* (304) (IN), TLS handshake, Certificate (11):
{ [2961 bytes data]
* (304) (IN), TLS handshake, CERT verify (15):
{ [264 bytes data]
* (304) (IN), TLS handshake, Finished (20):
{ [52 bytes data]
* (304) (OUT), TLS handshake, Finished (20):
} [52 bytes data]
* SSL connection using TLSv1.3 / AEAD-AES256-GCM-SHA384
* ALPN, server accepted to use http/1.1
* Server certificate:
* subject: CN=腾讯云对应的域名
* start date: Apr 10 00:00:00 2023 GMT
* expire date: Apr 9 23:59:59 2024 GMT
* issuer: C=CN; O=TrustAsia Technologies, Inc.; CN=TrustAsia RSA DV TLS CA G2
* SSL certificate verify ok.
> GET / HTTP/1.1
> Host: Cloudfare 对应的域名
> User-Agent: curl/7.79.1
> Accept: */*
>
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Server: nginx/1.18.0 (Ubuntu)
< Date: Tue, 25 Jul 2023 06:07:50 GMT
< Content-Type: text/html
< Content-Length: 687
< Last-Modified: Mon, 19 Jun 2023 08:27:00 GMT
< Connection: keep-alive
< Vary: Accept-Encoding
< ETag: "64901154-2af"
< Accept-Ranges: bytes
<
{ [687 bytes data]
renfei
2023-07-25 14:17:15 +08:00
@jochenshi 只要不是严格模式,CF 是不会校验证书的 CN=腾讯云对应的域名 域名是否一致的,按理来说是没问题的
那我只能怀疑是网络原因了,CF 过墙的时候,被阻断了,毕竟服务器在里面,CF 在外面
renfei
2023-07-25 14:22:10 +08:00
另外,再提醒一点,nginx 修改完配置,及得重启或者 reload
nginx -s reload
配置才能生效
jochenshi
2023-07-25 14:34:00 +08:00
@renfei @eijnix @bearice
我刚刚用同样的配置换了一个国外的机器,可以访问,看来是被腾讯拦截了

@renfei 你自己也是代理到国内的机器的吗?你的可以用吗
renfei
2023-07-25 14:37:32 +08:00
@jochenshi 我有国内的机器,但我没有使用 SSL ,我直接 http 回源站,状态监控一周里会发生两三次不通的情况,平时还好,只是慢一些
我已经准备注销备案,完全使用境外服务器了
jochenshi
2023-07-25 14:40:59 +08:00
@renfei 还有一个问题哈,使用这个不需要改国内源服务器的 DNS 吧
BurgerTown
2023-07-25 14:43:09 +08:00
看了一下 大概率是没有备案的大陆主机 没有备案不允许提供 http 服务 在腾讯云的网关会被拦住 如果想用 CF 可以直接用 tunnel 映射出去
jochenshi
2023-07-25 14:44:47 +08:00
@BurgerTown 主机有一个备案的域名,想把 cloudfare 的域名也解析过来的,这样是不行的吗?
JensenQian
2023-07-25 14:55:44 +08:00
@jochenshi 当然不行,你可以试下 cloudflare tunnel 打洞
stcode
2023-07-28 11:25:05 +08:00
不能选严格,之前 blogger 博客绑定的域名,我选严格,一直是这个错误,只能选完全
jochenshi
2023-07-31 10:32:43 +08:00
@stcode 选的就是完全模式,不是完全(严格)模式,换了一台国外的主机可以的,感觉是腾讯云干了啥
StevenZ
163 天前
一模一样的错误,尝试各种办法都不行,大概率是因为没有备案的原因。我刚设置好的时候几分钟是可以正常访问的,我认为正常了就没管,第二天再访问的时候就是 525 错误。
mrlfishman
80 天前
@StevenZ 最后也是只能换主机了?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/959489

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX