V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
guanganqishi
V2EX  ›  服务器

centos 下 nginx 使用了 HTTPs,网页访问不了

  •  
  •   guanganqishi · 2019-12-31 09:41:21 +08:00 · 7162 次点击
    这是一个创建于 1797 天前的主题,其中的信息可能已经有所发展或是发生改变。
    周一之前 https 可以正常访问,周一之后就不行。问了阿里云那边,阿里云那里可以正常访问。服务器端口都开放了,没有防火墙。域名由于法人更换,有段时间是不行的。现在 80 端口可以访问,就是 443 端口出问题了。切换端口也可以。这是什么问题啊?
    18 条回复    2020-01-03 16:38:24 +08:00
    tomwen
        1
    tomwen  
       2019-12-31 09:55:11 +08:00
    域名能发出来看看吗?
    首先端口是不是开了?不能访问是浏览器阻止了还是直接就打不开?是不是证书过期或者自制证书?
    guanganqishi
        2
    guanganqishi  
    OP
       2019-12-31 10:21:35 +08:00   ❤️ 1
    @tomwen kubao.360reborn.com:8443 弄了个 8443 端口可以访问 https://kubao.360reborn.com 443 端口不能访问
    证书是昨天弄了新的,还是不行。浏览器显示的是连接已重置
    sujin190
        3
    sujin190  
       2019-12-31 10:52:30 +08:00
    香港阿里云的话,一直都有这个问题啊,tsl 连接会被阻断,过几分钟又正常了
    guanganqishi
        4
    guanganqishi  
    OP
       2019-12-31 11:01:44 +08:00
    @sujin190 不是香港的,服务器在杭州
    ChicC
        5
    ChicC  
       2019-12-31 11:04:45 +08:00
    配置问题咯
    guanganqishi
        6
    guanganqishi  
    OP
       2019-12-31 11:08:26 +08:00
    @ChicC
    server {
    listen 443 ssl http2;
    listen [::]:443 ssl;
    server_name *.360reborn.com;
    charset utf-8;
    access_log logs/kubao.https.access.log main;
    error_log logs/kubao.https.error.log error;

    index index.php index.html index.htm;

    ssl on;
    ssl_certificate /usr/local/nginx/ssh/360reborn.pem;
    ssl_certificate_key /usr/local/nginx/ssh/360reborn.key;

    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 5m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
    ssl_prefer_server_ciphers on;

    location / {
    root /var/www/kubao/web;
    index index.php index.html index.htm;
    if (!-e $request_filename) {
    rewrite ^(.*)$ /index.php?s=$1 last;
    break;
    }
    }

    error_page 404 /404.html;

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    root html;
    }

    location ~ \.php$ {
    root /var/www/kubao/web;
    fastcgi_pass 127.0.0.1:9000;
    fastcgi_index index.php;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    include fastcgi_params;
    }

    }

    是这样的配置
    sujin190
        7
    sujin190  
       2019-12-31 11:17:49 +08:00
    看了下,tls 就建立不成功,客户端发送 client hello 之后连接被服务器重置了,但是不发送域名是可以成功建立连接的,所以要么是域名备案问题,要么是防火墙有特殊配置,实在不行也可以升级下 nginx 和 openssl 试试
    sujin190
        8
    sujin190  
       2019-12-31 11:19:08 +08:00
    证书和加密套件配置都没有问题,如果域名备案没有问题,防火墙也是正常的,那么 nginx 有 bug 也是可能的
    guanganqishi
        9
    guanganqishi  
    OP
       2019-12-31 11:43:46 +08:00
    @sujin190 嗯嗯 好的 谢谢 我再看看吧
    sujin190
        10
    sujin190  
       2019-12-31 11:53:08 +08:00
    看非 443 可以正常用而且是服务器 rst,所以大概率是域名合规问题,实在找不出啥问题可以给阿里云提工单问问
    noqwerty
        11
    noqwerty  
       2019-12-31 12:02:30 +08:00 via Android
    我这边可以直接打开你的链接啊,浏览器清一下缓存看看?
    venhow
        12
    venhow  
       2019-12-31 14:33:46 +08:00
    没有加载到证书啊
    ChicC
        13
    ChicC  
       2019-12-31 14:42:46 +08:00
    ssl_certificate /usr/local/nginx/ssh/360reborn.pem;
    @guanganqishi

    是配置 pem 文件吗?不是 crt 吗
    justfly
        14
    justfly  
       2019-12-31 14:49:37 +08:00
    https://47.98.153.226/ 没问题,也能达到正确的证书,所以倾向于证书没啥问题,但是使用域名就有问题,怀疑防火墙或者 SNI 相关逻辑,看看 nginx 的错误日志。
    privil
        15
    privil  
       2019-12-31 15:10:37 +08:00
    本机配置一下 host 域名指向 127.0.0.1 然后 curl 试一下行不行。
    privil
        16
    privil  
       2019-12-31 15:11:25 +08:00
    服务器本机。
    jeblur
        17
    jeblur  
       2019-12-31 15:16:41 +08:00
    正常打开
    whnzy
        18
    whnzy  
       2020-01-03 16:38:24 +08:00
    法人变更,是需要更新备案信息的,因为 2020 年,TLSv1.0 和 TLSv1.1 就不支持了,TLSv1.2 是支持 SNI 的,很容易被监测出来的。
    我 ICP 查询,你们是备案的,但是有可能是因为没有更新备案信息。
    每个浏览器对 TLSv1.0 和 TLSv1.1 的禁用时间不同,就会导致不同的浏览器会有不同的表现。
    希望能帮到你。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2621 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 06:56 · PVG 14:56 · LAX 22:56 · JFK 01:56
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.