[每周一更]-(第105期):SSL证书过期后引发的DNS缓存问题

最新推荐文章于 2024-07-13 18:12:25 发布
最新推荐文章于 2024-07-13 18:12:25 发布
阅读量542 收藏 14
点赞数 6
分类专栏: 每周一更 文章标签: ssl 缓存 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hmx224_2014/article/details/140390902
版权

在这里插入图片描述

问题回顾:

​ 上班路上收到ZeroSSL邮件通知我们清点项目的SSL证书到期了,到公司还是登录网址查看信息,一看果然是7.10也就是今天到期,开始看下acme.sh的定制任务为何没生效,一看crontab脚本,日志任务丢垃圾桶,没办法,手动更新,然后更新期间会报错:error code:35,好在不影响生成证书文件,就没理会,在具体项目中查看证书文件也更新最新文件,继续访问目标网址,发现直接DNS_PROBE_FINISHED_NXDOMAIN,无法访问,手机端访问也是502,在nginx重启时候还报错了前端配置文件问题,屏蔽相关代码,网站仍然不通,让前端本地跑项目反馈可以跑通(由于前端请求的API是目标域名的二级域名,所有不受影响,这期间还排查了管理端也是二级域名也能正常工作),再考虑应该还是域名解析DNS问题,后边想到之前该项目部署过阿里云waf,通过相关命令在服务器查看域名解析情况,果然域名CNAME还是WAF的地址,遗漏了这个环节,后边将域名解析的waf删除,重新重启nginx,至此项目正常可以访问。

从以上过程,可以总结我们针对问题的思路,如何发现问题,找到问题的因素,一一验证排查,期间由于WAF关闭较早,SSL证书没过期,没有及时排查到DNS解析的问题,其实中间还浪费了部分时间,针对该问题,以下相关知识点做个记录,为后来人起个指引作用,反观解决过程,其实问题点很简单,只是没有一开始及时发现。

具体细节流程

  • zeroSSL邮件提醒

在这里插入图片描述

  • 网站不通

在这里插入图片描述

  • acme重新生成证书

在这里插入图片描述

  • 前端项目中报错配置
    在这里插入图片描述

  • 查看域名解析地址

在这里插入图片描述

  • 查看阿里云中域名解析确实是waf地址

在这里插入图片描述

  • 删除waf,后正确解析IP

在这里插入图片描述

  • 网站恢复后颁发者信息

在这里插入图片描述

  • 查看nginx的状态:service nginx status,报错是前端配置文件中错误
nginx.service - A high performance web server and a reverse proxy server
   Loaded: loaded (/lib/systemd/system/nginx.service; enabled; vendor preset: enabled)
   Active: active (running) (Result: exit-code) since Wed 2024-07-10 09:53:48 CST; 23min ago
  Process: 1140 ExecStop=/sbin/start-stop-daemon --quiet --stop --retry QUIT/5 --pidfile /run/nginx.pid (code=exited, status=0/SUCCESS)
  Process: 21695 ExecReload=/usr/sbin/nginx -g daemon on; master_process on; -s reload (code=exited, status=1/FAILURE)
  Process: 1147 ExecStart=/usr/sbin/nginx -g daemon on; master_process on; (code=exited, status=0/SUCCESS)
  Process: 1143 ExecStartPre=/usr/sbin/nginx -t -q -g daemon on; master_process on; (code=exited, status=0/SUCCESS)
 Main PID: 1150 (nginx)
    Tasks: 5
   Memory: 12.0M
      CPU: 360ms
   CGroup: /system.slice/nginx.service
           ├─ 1150 nginx: master process /usr/sbin/nginx -g daemon on; master_process on
           ├─17920 nginx: worker process                           
           ├─17921 nginx: worker process                           
           ├─17922 nginx: worker process                           
           └─17923 nginx: worker process                           

Jul 10 09:59:15 k8s-node systemd[1]: nginx.service: Control process exited, code=exited status=1
Jul 10 09:59:15 k8s-node systemd[1]: Reload failed for A high performance web server and a reverse proxy server.
Jul 10 10:00:01 k8s-node systemd[1]: Reloading A high performance web server and a reverse proxy server.
Jul 10 10:00:01 k8s-node systemd[1]: Reloaded A high performance web server and a reverse proxy server.
Jul 10 10:03:11 k8s-node systemd[1]: Reloading A high performance web server and a reverse proxy server.
Jul 10 10:03:11 k8s-node systemd[1]: Reloaded A high performance web server and a reverse proxy server.
Jul 10 10:17:42 k8s-node systemd[1]: Reloading A high performance web server and a reverse proxy server.
Jul 10 10:17:42 k8s-node nginx[21695]: nginx: [emerg] host not found in upstream "www.varclear.com" in /etc/nginx/clinical/community_frontend.conf:37
Jul 10 10:17:42 k8s-node systemd[1]: nginx.service: Control process exited, code=exited status=1

SSL

针对SSL的排查过程

强制更新域名证书

Please refer to https://curl.haxx.se/libcurl/c/libcurl-errors.html for error code: 35

定时更新任务

0 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

DNS

针对DNS的排查过程

检查域名状态

WHOIS查询:通过WHOIS查询工具检查域名的状态,确保域名没有过期或被锁定。
DNS Propagation:使用DNS传播检查工具(例如WhatsMyDNS)来确认DNS记录是否已正确传播到全球各地的DNS服务器。

检查和验证

清理DNS缓存后,可以使用 dig 或 nslookup 命令验证DNS解析是否正确:

dig yourdomain.com

或者

nslookup yourdomain.com

这些命令会返回DNS解析的详细信息,你可以检查输出是否符合预期。

额外的DNS调试工具

如果需要更多调试工具,可以安装并使用 bind-utils(包含 dig 和 nslookup 等工具):

sudo apt-get install bind9-utils  # Debian/Ubuntu
sudo yum install bind-utils       # CentOS/RHEL
sudo dnf install bind-utils       # Fedora

针对该项目访问遇到的问题,其中存在一些基础知识点的理解,需要单独写文章来讲解DNS及SSL的工作过程。

ifanatic
关注
  • 6
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
全国职业院校技能大赛网络建设与运维赛项赛题(一)
yuhongkui的专栏
04-30 2624
全国职业院校技能大赛网络建设与运维赛题(一)一、竞赛项目简介“网络建设与运维”竞赛共分 A.网络理论测试(从公布赛题模块一中随机抽取选择题70道,判断题30道);B.网络建设与调试;C.服务搭建与运维等三个模块。竞赛时间安排和分值权重见表1表 1 竞赛时间安排与分值权模块比赛时长分值模块一网络理论测试0.5小时10%模块二网络建设与调试6.5小时40%模块三服务搭建与运维50%合计7小时100%二、竞赛注意事项1.竞赛间禁止携带和使用移动存储设备、计算器、通信工具及参考资料。2.请根据大赛所提供的竞赛环境
HCIE-Cloud题库
stqer的博客
08-09 3639
⒉.使用华为BCManagerbAckup进行数据备份并采用LAN-Free组网模式,当用户备份一台虚拟机时,生产存储会执行什么操作?A.向备份存储发送备份数据(正确答案)B.向备份服务器发送备份数据C.向虚拟化环境发送备份数据D.向备份代理发送备份数据4.FusionCompute与FusionSphereOpenStack对接的,FusionCompute的管理网络必须与FusionSphereOpenStack的哪个网络互通?A.external om(正确答案).........
HCIE-Cloud笔试
stqer的博客
07-01 1723
前言: 目录按照HCIE-Cloud官方培训教材V2.0进行制定,通过笔试考点挂钩HCIE-Cloud官方培训教材V2.0中的知识,相互强化记忆 1、优点:基本笔试的知识分类,是按照该教材的目录大纲分类。 2、缺点:该教材知识点不能全覆盖到笔试考点,换言之,笔试考点超过教材中的内容,需要引入其他书本。 3、资料:HCIE-Cloud培训教材及实验V2.0 链接:https://pan.baidu.com/s/14J6mLz1lOFPXqGKMw9379Q 提取码:2nyh 4、认证概述: HCIE-Clou
Linux指令(详细版)
qq_64519337的博客
03-12 1606
ls -a:列出目录中的所有文件,包括以点(.)开头的隐藏文件。ls -l:以长格式列出文件信息,包括文件权限、所有者、大小和最后修改时间。ls -h:与-l选项一起使用,以易读的格式显示文件大小(例如 KB、MB)。ls -t:按照最后修改时间排序文件和目录。ls -S:按文件大小排序。ls -r:逆序排列文件(与-t或-S结合使用时非常有用)。ls -R:递归地列出所有子目录的内容。
运维攻城狮面试题汇总
tian1345的博客
05-22 1万+
面试题汇总 什么是运维?什么是游戏运维? 1)运维是指大型组织已经建立好的网络软硬件的维护,就是要保证业务的上线与运作的正常,在他运转的过程中,对他进行维护,他集合了网络、系统、数据库、开发、安全、监控于一身的技术,运维又包括很多种,有DBA运维、网站运维、虚拟化运维、监控运维、游戏运维等等 2)游戏运维又有分工,分为开发运维、应用运维(业务运维)和系统运维 开发运维:是给应用运维开发运维工具和运维平台的 应用运维:是给业务上线、维护和做故障排除的,用开发运维开发出来的工具给业务上线、维护、做故障排查 系
linux命令及文档
weixin_44194656的博客
04-21 2851
printenv 查看环境 hash 查看缓存命令 clock /hwclock/date 查看时间 help + command 获得帮助 command --help / man command 用户命令(/bin,/usr/bin,/usr/local/bin) 管理命令(/sbin;/usr/sbin/;/usr/local/sbin) <>:必选 []:可选...
实施运维企业面试题-5
热门推荐
dan_dan的博客
01-04 20万+
NETWORK 1 请描述 TCP/IP 协议中主机与主机之间通信的三要素 参考答案 IP 地址(IP address) 子网掩码(subnet mask) IP 路由(IP router) 2 请描述 IP 地址的分类及每一类的范围 参考答案 A 类 1-26 B 类 128-191 C 类 192-223 D 类 224-239 组播(多播) E 类 240-254 科研 3 请描述 A、B、C 三类 IP 地址的默认子网掩码 参考答案 A 类 255.0.0.0 B 类 255.255.0.0 C 类
[转]信息安全相关理论题(四)
Herry_Lee的专栏
02-18 3万+
26、____表示邮件服务器返回代码为临时性失败(xx代表任意数)。 A、 2xx B、 3xx C、 4xx D、 5xx 您的答案: 标准答案: C 27、买家称购买商品异常后的正确操作是立即咨询官方客服。 A、 正确 B、 错误 您的答案: 标准答案: A 28、网上陌生人给你发送补丁文件正确的操作是不下载文件。 A、 错误 B、 正确 您的答...
linux基础学习思维导图及文档(17万字)
kali_yao的博客
01-02 9238
一.云计算基础二.虚拟机介绍与网络虚拟软件安装网络三.分区与格式化1.计算机容量单位2.分区3.分区命令四.linux安装真机Linux 安装VMware 安装 Centos7五.配置ip与远程工具1.nmtui配置IP2.远程工具3.nmcli配置ip六.linux使用注意事项1.Linux 严格区分大小写2.Linux 一切皆文件3.Linux 不靠扩展名区分文件类型4.Linux 中所有的存储设备都必须在挂载之后才能使用5.Windows 下的程序不能直接在 Linux 中使用七.linux...
ssl-certificate-chain-resolver:SSL证书链解析器
02-05
SSL证书链解析器 所有操作系统都包含一组默认的受信任根证书。 但是,证书颁发机构通常不使用其根证书来签署客户证书。 他们改用所谓的中间证书,因为它们可以频繁地轮换。 如果您的服务器上未安装所有中间证书...
hetzner-lb-acmedns:一项使用ACME-DNS自动新Hetzner负载平衡器上的Letsencrypt SSL证书的服务
02-28
《使用hetzner-lb-acmedns自动化新Hetzner负载均衡器的Let's Encrypt SSL证书》 在当今的互联网环境中,SSL...无论是小型企业还是大型组织,都能从中受益,专注于提供优质的服务,而不必担心SSL证书的维护问题
ansible-role-ssl-certs:生成和部署SSL证书
01-31
总的来说,“ansible-role-ssl-certs”是Ansible生态系统中一个非常实用的角色,它使得SSL证书的管理变得加简单和自动化。通过理解和使用这个角色,我们可以确保Web服务的安全性,同时减少了手动操作带来的错误和...
ssl-cert-check:SSL证书即将到时发送通知
05-04
ssl-cert-check是一个Bourne shell脚本,可用于报告SSL证书过期。 该脚本旨在从cron运行,并且可以通过nagios发送电子邮件警告或记录警报。 用法: $ ./ssl-cert-check Usage: ./ssl-cert-check [ -e email ...
cert-chain-resolver:SSL证书链解析器
02-28
SSL证书链解析器 此应用程序下载给定SSL服务器证书的所有中间CA证书。 它可以帮助您解决证书链不完整的问题, 也将其报告为“额外下载” 。 请参阅发行版以获取预构建的二进制文件或自行构建。 注意:如果Go出现...
使用openssl生成自签名证书
super的博客
07-10 370
/CN= Common Name 域名或IP www.xxxx.com。#/O= Organization 组织或企业。# X.509证书包含三个文件:key,csr,crt。# -out server.key 生成的私钥文件名。# -genra 生成RSA私钥。# -subj 生成CSR证书的参数。# 生成CSR(证书签名请求)# -req 生成证书签名请求。# -out 生成的CSR文件。# 生成私钥(key文件)# -key 生成私钥文件。# -1024 私钥长度。
Qt中https的使用,报错TLS initialization failed和不能打开ssl.lib问题解决
最新发布
独行猫a 的沉淀、积累、总结。天天学习,好好向上...c/c++,嵌入式 linux,Android,HarmonyOS)
07-13 394
在现代应用程序中,安全地传输数据变得越来越重要。Qt提供了一套完整的网络API来支持HTTP和HTTPS通信。然而,在实际开发过程中,开发者可能会遇到SSL相关的错误,例如“TLS initialization failed”,cant't open ssl.lib等问题。本文将介绍如何在Qt中使用HTTPS进行网络访问,网上搜到的结果大都是错的。这里并提供解决TLS初始化失败和SSL问题的方法。
浪潮天启防火墙TQ2000远程配置方法SSL-V偏、L2xx 配置方法
wo325866145的博客
07-10 860
浪潮天启防火墙TQ2000 SSL-Vxx L2远程配置方法
Docker 部署 Nginx 并在容器内配置申请免费 SSL 证书
心若有所向往,何惧道阻且长。
07-13 355
Docker 部署 Nginx 并在容器内配置申请免费 SSL 证书
show ssl_ciphers; ssl_ciphers -------------------------- HIGH:MEDIUM:+3DES:!aNULL
04-26
根据提供的引用内容,你遇到了两个不同的问题。第一个问题是在使用tidevice安装iOS adhoc包时报错ssl.SSLError: [SSL: NO_CIPHERS_AVAILABLE] no ciphers available (_ssl.c:997)[^1]。第二个问题是在使用httpie时报错ImportError: cannot import name ‘DEFAULT_CIPHERS‘ from ‘urllib3.util.ssl_[^2]。 对于第一个问题,报错信息表明SSL连接中没有可用的密码套件。这可能是由于系统缺少所需的密码套件导致的。为了解决这个问题,你可以尝试以下方法: 1. 确保你的系统已经安装了最新版本的OpenSSL库。 2. 新你的Python版本,以确保你使用的是最新的SSL库。 3. 检查你的系统是否有任何安全软件或防火墙,它们可能会干扰SSL连接。尝试禁用它们并重新运行程序。 对于第二个问题,报错信息表明在导入urllib3.util.ssl_模块时找不到DEFAULT_CIPHERS。这可能是由于你使用的httpie版本与urllib3库版本不兼容导致的。为了解决这个问题,你可以尝试以下方法: 1. 确保你的httpie和urllib3库都是最新版本。你可以使用pip命令来新它们: ```shell pip install --upgrade httpie urllib3 ``` 2. 如果你已经安装了最新版本的httpie和urllib3库,但问题仍然存在,那么可能是由于其他依赖项的冲突导致的。你可以尝试卸载并重新安装httpie和urllib3库: ```shell pip uninstall httpie urllib3 pip install httpie urllib3 ``` 如果以上方法都无法解决问题,你可以尝试在httpie的官方GitHub页面上提交一个issue,向开发者寻求帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值