导言最近遇到多次HTTPS域名拜访反常的情况，针对此类问题汇总一下CDN侧排查思路：常见HTTPS证书装备反常的分类：1 证书过期2 用户自有证书未收效（现已走京东证书）3 证书缺失具体分析办法：一 、当经过阅读器拜访https域名时分，出现证书曩昔报错：原因：1、当前电脑系统时刻过错，一切的http安全证书都有颁发日期和截止日期，电脑系统时刻在证书有用时刻区间之外有或许导致阅读器提示网站https安全证书已过期或还未收效。2、网站的https安全证书确实现已过期，根据https安全证书签发国际标准，https安全证书颁发不能超过39个月。3、站点引证其它布置了https安全证书的外链，假如这个外链的证书过期了也会提示相应的过错。 能检测出外链有证书过错的终端设备有：手机阅读器、PC端IE6 (IE6以上的不提示)。处理：1、 电脑系统时刻不对：将电脑系统的时刻调整至https安全证书有用期之内。2、 https安全证书过期：需求网站一切者到https安全证书签发组织CA续签证书。3、 当前站点外链网站的https证书过期：需求网站一切者撤销外链或许外链网站一切者到CA组织替换或续费证书。二、用户自有证书未收效（现已走京东证书）测验办法：openssl s_client -connect 183.214.145.195:443 -s能够看到假如用户有自有证书，设备收效后，不应该出现CN=*.jdcloud.com，而应该是用户供给的证书，如：CN=* 处理：此类问题需求运维看一下咱们设备是否装备未收效或是证书未同步。三、证书部分缺失首先，咱们要了解完好的证书链=【根+中心+域名】，阅读器自带根证书，因为其他https网站也会是这个成果，所以中心证书也基本是那几个，阅读器拜访时会保存中心证书，所以当创世云只要域名证书时，阅读器现已自带了https拜访需求的根证书和中心证书。（参阅https://www/t/314604），所以当用户经过阅读器拜访，因为节点装备的证书链不完好，大多数阅读器因为此前拜访过其他https，因而都保留了根证书和中心证书，不必定会出问题。但部分客户端拜访会存在问题。1、测验办法：openssl s_client -connect 59.63.167.5:443 -servername f6.mam报错信息：正确返回值： 此办法能够即验证设备证书是否正常，同事能够未来设备证书装备是否正确的一个办法。2、测验办法：同时咱们也能够经过curl指令针对毛病的节点抓取验证curl -v -o /dev/null https://f62/1.jpg --resolve f6.market.xiaom63.167.53、毛病现象：这个指令会验证完好证书链，假如加-k，只会验证域名证书。您给到我方的只要域名证书，因而，假如用这个指令，会提示证书有问题，-k则不会提示3 本地hosts固定节点，经过阅读器拜访敲黑板，注意了：（1）关于证书校验，客户端或许阅读器会校验整个证书链（比方，从域名证书，到中心证书，到根证书，逐一验证），只要整个证书链完好，且彻底可信，阅读器或许客户端才会认可。所以 《证书校验，其实是证书链校验》（2） 根证书，中心证书有必定的通用性。由同一个中心证书签发的一切域名证书都能够被该中心证书进行验签。（3）一般来说，阅读器(chrome, safari, 或许系统) 会预装根证书，而中心证书我个人感觉不会预装。 在咱们使用阅读器阅读各种各样的网站时，阅读器《有或许》会保存一些 中心证书，留着给一些没供给中心证书的 http服务器使用。 对于本事例阅读器拜访200正常，有或许阅读器帮忙补全的证书链。处理：1 用户供给完好的证书，重新装备2 咱们供给其他用户供给的正常服务器，自己补全--需求研发供给补全日志。

版权免责声明: 本站内容部分来源于网络，请自行鉴定真假。如有侵权，违法，恶意广告，虚假欺骗行为等以上问题联系我们删除。
本文地址：https://assets.80590.com/article/207.html