ssl证书小记

因公司业务需求升级https，服务器为阿里云服务器，nginx+php+mysql

证书升级流程

# 1 开启443端口
	ali云控制台进行配置安全组规则
# 2 下载证书
	下载证书文件，上传到服务器，根据自身选用验证方式
# 3 配置证书
	根据官方文件，然后结合自己服务器配置，一般不会出错，很多错误都是服务器与安全组规则的问题
# 4 重启nginx服务
	kill -HUP PID

           

证书验证

验证方法一：文件验证

文件验证较快，只需要将文件放到指定位置即可，推荐使用。

1、下载文件：

下载专有验证文件 fileauth.txt文件，下载后不要编辑，不要打开，不要重命名，有效期24小时。

2、创建目录：

在站点的根目录下创建.well-known/pki-validation子目录。注意第一层目录是带点的隐藏目录，Windows下命令为：md ".well-known"。 将下载到本地的文件上传到该子目录中。如果您的站点由于某种原因无法创建隐藏目录，选择其它DNS验证方式。

3、配置检测：

    （1）HTTPS配置检测链接：https://您的域名/.well-known/pki-validation/fileauth.txt  

    （2）HTTP配置检测链接：http://您的域名/.well-known/pki-validation/fileauth.txt 

请确保您的主机服务商没有屏蔽国外访问。如已屏蔽，请联系主机服务商。

有些CA厂商会优先检测HTTPS地址，如果开启HTTPS协议一定要保证正确配置了证书，否则不要开启HTTPS。
如果用了CDN、WAF等服务，请确认证书是否有效，强烈建议临时关闭相关服务的HTTPS。
常见的错误：
    （1）站点有多个Host，其它Host开启了HTTPS，从而导致该域名的HTTPS证书不可信；
    （2）用了CDN、WAF等服务，开启了HTTPS但没有配置证书，服务商提供的默认证书从而导致域名不匹配。

配置好之后，请用浏览器访问地址是否正常输出内容。
常见的错误：
    （1）文件内容不正确；
    （2）内容看起来正确，但并不正确，原因是里面包含了HTML元素；
    （3）原始地址发生了跳转；
    （4）内容已经过期。
           

端口占用

查看端口占用 
    netstat -ntlp |grep 443 
   -t : 指明显示TCP端口
　　-u : 指明显示UDP端口
　　-l : 仅显示监听套接字(所谓套接字就是使应用程序能够读写与收发通讯协议(protocol)与资料的程序)
　　-p : 显示进程标识符和程序名称，每一个套接字/端口都属于一个程序。
　　-n : 不进行DNS轮询，显示IP(可以加速操作)
           

防火墙设置

查看防火墙规则
    more /etc/sysconfig/iptables 命令查看防火墙规则
    
    1）通过vi /etc/sysconfig/iptables 进入编辑
    增添一条-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT 即可

    2）执行 /etc/init.d/iptables restart 命令将iptables服务重启
    
    查看：service iptables status || /etc/init.d/iptables status
    关闭： service iptables stop  || /etc/init.d/iptables stop
    重启：service iptables restart|| /etc/init.d/iptables status
           

nginx重启

# 通过ps及top命令查看进程信息时，只能查到相对路径，查不到的进程的详细信息，如绝对路径等。
# 这时，我们需要通过以下的方法来查看进程的详细信息：

# Linux在启动一个进程时，系统会在/proc下创建一个以PID命名的文件夹，在该文件夹下会有我们的进程的信息，
# 其中包括一个名为exe的文件即记录了绝对路径，通过ll或ls –l命令即可查看
# ll /proc/PID

# cwd符号链接的是进程运行目录；
# exe符号连接就是执行程序的绝对路径；
# cmdline就是程序运行时输入的命令行命令；
# environ记录了进程运行时的环境变量；
# fd目录下是进程打开或使用的文件的符号连接。

# 重启方法
# a、定位到启动文件，使用脚本命令
/**/nginx  -s  stop  / start / reload

# b、查询nginx进程号，使用信号控制
	ps -ef|grep nginx
	kill -HUP PID
  # 1、HUP      重启
  # 2、QUIT     从容重启
  # 3、TERM     快速关闭
  # 4、INT      从容关闭
  # 5、USR1     切换日志文件（用于切换日志文件和切割日志文件）
  # 6、USR2     平滑升级可执行进行
# 注意：重启前最好用 -t查看一下配置文件是否正确