相較于HTTP協定來說,HTTPS協定在網絡鍊路中傳輸更具有安全可靠性,因為它通過SSL證書在鍊路中間對我們七層的網絡包做了加密,進而防止了一些惡意的内容劫持。針對于這種場景,阿裡雲CDN也提供了相關的功能,可以支援用戶端到CDN L1節點的HTTPS的協定。
在CDN上設定HTTPS
使用者可以在這裡選擇自己的自有證書或者阿裡雲證書或者免費證書。自有證書相當于說是使用者自己去CA機構申請的;阿裡雲證書則對接的是阿裡雲雲盾的證書服務;免費證書是CDN提供的可以讓使用者免費使用的一種SSL證書,讓使用者可以快速上線檢視自己的相關配置效果。
故障排除
但在經過了上面的配置了以後,經常會出現在配置完證書以後,HTTPS協定還是沒法正常使用的情況。
那這種情況基本有三類常見的問題,下面我們就詳細的來看一下具體問題。
故障一、CDN域名配置問題
大家在保證證書配置已經完成的情況下,首先需要檢視自己的加速域名是否有正确的cname解析到CDN的cname上。如果對應的cname域名沒有正确解析,那麼節點上部署的SSL證書是不會生效的,可以通過dig或者nslookup指令來檢測對應的域名是否有正确的解析。如下圖:
故障二、浏覽器沒有生效
一種情況是部分低版本的浏覽器沒有正常生效配置的CA憑證。
在這種情況下,我們通常會檢視對應的證書内容。這裡檢視到的是一個uc.cn的證書。CDN本身的SSL服務是通過SNI技術來實作的,而SNI的技術主要是針對于在同一台伺服器或者同一個節點上部署多個域名證書的一項技術。有部分的用戶端浏覽器會對這種技術有一些限制,進而就會出現一些低版本浏覽器無法相容SNI。針對于這種情況,建議更新用戶端的浏覽器版本(有時候也包括作業系統版本)來相容SNI協定。
第二種情況是,部分高版本浏覽器也無法識别對應的SSL證書的情況。
部分的浏覽器會出現AUTHORITY_INVALID報錯。針對這個錯誤,特别是在部分的移動端浏覽器出現了這種錯誤,經常是由于我們的證書鍊不完整導緻的。CA機構包括ROOT CA,包括中間CA,那像我們向中間CA申請的這種證書都會包括對應的證書鍊,如果我們在證書送出中缺失了這一部分中間證書,那就會導緻部分的浏覽器出現無法識别或者相容的情況。針對于這種場景,我們需要把對應的證書鍊補全,保證對應的證書鍊在所有的浏覽器中都相容。
故障三、證書配置已經生效,但是仍然出現一些浏覽器或者所有的浏覽器都無法相容的情況。
大家來看一下這張圖。
這張圖主要是COMMON_NAME_INVALID的一個錯誤,出現這個錯誤,是由于我們配置的SSL證書與對應的加速域名不比對。因為我們向CA機構申請的證書是有對應的适用範圍的,是針對于特定的域名或特對特定的泛域名提供的服務。如果域名不屬于對應範圍内的的話,就會出現這樣的錯誤。是以客戶在申請證書的時候,需要保證證書對應的範圍與我們實際使用的加速域名是完全一緻的,這樣才能規避這種問題。
故障四、添加了證書以後,使用HTTPS通路出現504錯誤。
出現這種故障,基本上是由于CDN回源配置異常,導緻了源站無法正常響應。
一種情況是由于協定跟随回源,顧名思義就是如果用戶端使用的是HTTPS協定,那回源也走對應的HTTPS協定,走對應的443端口。這個時候就要求源站也配有對應的證書,并且443端口也能夠正常地提供HTTPS協定的内容。如果源站不支援HTTPS協定的話,那這種情況下是不能開啟協定跟随回源的,是以會導緻504錯誤。
另一種情況是,源站是基于SNI技術實作HTTPS協定的。如果源站也是在同一個ECS伺服器上配置了多個證書的話,也會導緻對應的504錯誤。這是因為CDN回源的時候是不會帶有對應的SNI資訊的,導緻源站的SNI的配置也無法正常的比對到對應證書。
針對于這種情況,我們可以取消源站的SNI技術,保證同一台伺服器上僅有一個證書提供服務。
故障五、使用HTTPS協定通路出現508錯誤。
這種錯誤主要是由于回源使用了80端口,也就是HTTP協定,然後源站配置了HTTP到HTTPS的強制跳轉功能,其實前端使用HTTPS的協定也會強制跳轉成HTTPS協定,是以就出現了508錯誤。這種情況,我們建議客戶取消源站的強制跳轉設定,将對應的強制跳轉放在CDN上去做,由CDN去完成對應的HTTP到HTTPS的強制跳轉。源站隻提供對應的業務内容給CDN即可完成對應的配置。
以上就是 CDN的HTTPS配置及故障排除 的全部内容,您在CDN配置中還遇到過什麼問題,歡迎留言讨論。
原文連結:
https://aliyunnew.com/a/HTTPS-Configuration-and-Troubleshooting-of-CDN.html