公司运维被优化了,小开发被迫营业需要兼顾下线上运维的活
目前遇到 ssl 证书即将过期问题
请求的路径如下
传统型 clb (负载均衡)-> 两台 nginx ( ecs 服务器)
我看了下还有接入 waf ( web 应用防火墙 )
一开始在腾讯云上申请了免费 ssl 证书,然后直接替换到 nginx 两台机器上,但是证书格式貌似还不太一样 原来的证书文件有 xx.cer 和 xx.key , 但是申请下来的证书是 xx.crt 和 xx.key
替换后发现证书有效期依旧没变化
后来我就直接在阿里云上申请免费证书,上传证书,在 waf 内部替换掉后,查看证书有效期就是最新的了
疑问点 1 、是不是只要在 waf 内部替换掉 ssl 证书就可以了呢? 2 、那 nginx 服务器上的证书没替换是否有影响呢?
 |
1
linanzi 13 小时 12 分钟前
我理解 waf 是个中间人,替换 waf 的证书用户就可以看到。waf 是否检验 nginx 的证书应该是有相关设置的。
|
 |
2
hefish 13 小时 11 分钟前  1
1 、如果 waf 后端挂的是 http ,那只要在 waf 上替换即可, 否则要连着 nignx 服务器上的一并替换。
2 、如果 waf 后端是 https 的,那么不替换 nginx 上的证书会导致 waf 连 nginx 的时候证书过期。 导致 waf 无法正常工作。 |
 |
3
cheese 13 小时 10 分钟前
cer crt 直接改后缀名就行,你得确认所有的流量都走的 waf ,这样只需要替换 waf 就行。建议你都换了算了,也没啥工作量
|
 |
4
macaodoll 13 小时 5 分钟前 via Android
直接替换 waf 的证书即可
|
 |
5
salmon5 13 小时 0 分钟前
1 ,是的,你自己也验证了。
2 ,waf 一般基于 nginx 二开,proxy_ssl_verify 默认是 off 的,因此: 2.1 ,后端 https 服务器的证书可以和域名不匹配; 2.2 ,后端 https 服务器的证书可以无效(不在跟证书中,就是自签名证书也可以); 2.3 ,后端 https 服务器的证书可以过期; 因此如果真的忘记遗漏了,也没影响,但是为了鲁棒性,建议也更新下。 |
 |
8
xycost233 12 小时 41 分钟前
waf 如果可以配置忽略后端 ssl 校验的话就可以不改,如果 waf 后端内网是可信的话也可以把后端业务切换成 http 业务
|
 |
9
defunct9 12 小时 25 分钟前
nginx 不用挂证书,明文就好。
|
 |
11
FrankFang128 11 小时 59 分钟前
|
 |
12
goodryb 11 小时 36 分钟前
除了上面的,可以提个工单咨询一下客服
|
 |
13
dmanbu 11 小时 34 分钟前
说你搞不懂,让公司招运维,增加就业岗位
|
 |
14
wheat0r 11 小时 28 分钟前
网络内部的 WAF 的正确使用方法就是 HTTPS 卸载,去源服务器用明文。你只需要替换 WAF 的证书。
云 WAF 的情况下你就需要考虑 WAF 到源服务器的证书了。 |
 |
15
sampeng 11 小时 20 分钟前
有一说一。。你问我们。。不如去提 support 。。
|
 |
18
yyttrr 10 小时 14 分钟前
waf 和 clb 都有处理证书的能力,确认一下具体是哪里处理证书的之后修改就行
过了 waf 的 clb 可以改成 tcp 类型的,缩一下规格省点钱 |
 |
19
ttkanni 10 小时 5 分钟前
1 ,得去 WAF 和 nginx 上查看证书的配置,如果 WAF 上已经挂载 SSL 证书,那就要更新 WAF 的。
WAF 挂载证书生效,公网请求经过 WAF 就直接处理证书了,不需要后端 nginx 或者应用上的证书了。 这一种方式要注意内网互相调用可能也用了 https 、证书挂在 nginx 的情况,因此建议先更新 slb + nginx 上的证书,然后通过绑 Host 测试下内网调用证书是否生效,若生效,再更新 WAF 上的。 ,2 ,如果 WAF 上没有挂载证书,那后端 slb + nginx 上配置了证书的都要更新。 |
 |
20
realpg 7 小时 41 分钟前
waf 回源直接 http 就好了 没必要 https
|
Select Language