记录一次1Panel配置SSL导致的面板访问失败

已于 2024-01-18 22:03:45 修改
阅读量6.8k 收藏 53
点赞数 32
分类专栏: 运维 文章标签: 运维 nginx ssl
于 2024-01-18 20:33:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25851273/article/details/135683207
版权

文章目录

问题描述

今天在使用1Panel配置网站的时候,给域名上传了SSL证书、开启了https访问。

然后面板就进不去了,浏览器报告连接不安全。

在这里插入图片描述

猜测导致问题的原因是,OpenResty把所有访问该域名的请求都重定向到了https。(最后研究发现该猜测错误)

发生这件事有以下几个条件:

  • 正在配置的网站域名和面板域名相同,都是xxx.example.com。
  • 面板先前没有开启HTTPS访问。
  • 配置HTTPS时选择了HTTP自动访问HTTPS(如图)
  • 配置完成后对https://xxx.example.com进行了访问

在这里插入图片描述

经过研究发现,其实这是浏览器HSTS(HTTP Strict Transport Security)导致的问题。
直接原因是1Panel在OpenResty配置文件中为我们默认添加了如下的响应头:

add_header Strict-Transport-Security "max-age=31536000";

我们在首次访问http://xxx.example.com以后,OpenResty会通过如下指令重定向到https://xxx.example.com/

if ($scheme = http) {
    return 301 https://$host$request_uri;
}

301重定向访问https后,浏览器就会收到上述的Strict-Transport-Security Header,并记录下来,有效期是一年。

下次使用HTTP协议访问xxx.example.com域名,浏览器就会自动进行307重定向到HTTPS。而前面提到,面板没有开启HTTPS,导致面板无法进入。

你甘心让自己的面板持续一年无法访问吗?如果不是的话,就看看下面的修复步骤吧😂

修复步骤

1、移除该域名的HSTS记录

对于Chrome,可以访问chrome://net-internals/#hsts;

对于Edge,可以访问edge://net-internals/#hsts;

对于其它浏览器,可以自行搜索一下在哪配置HSTS~

找到Delete字眼,输入域名,按下Delete按钮,删除记录!

在这里插入图片描述

删除完成后,面板就可以正常访问了!

但是,还没完!

2、方案1:立即给面板添加https访问(最优)

只需在1Panel→面板设置→安全→HTTPS,开启并选择之前传过的证书就好。

设置完以后就高枕无忧了,面板也安全了,也不会再因为上述问题导致无法访问。

在这里插入图片描述

至此,问题解决。

2、方案2:删除Strict-Transport-Security响应头

删除响应头意味着以后的HTTP访问都需要经过一次301重定向,不推荐。

当然,如果确实有同域名不同端口的服务(比如面板)不想/无法启用https访问,那也只能这样了。

① 修改配置文件/opt/1panel/apps/openresty/conf/conf.d/xxx.example.com.conf 如下:

# ...
ssl_prefer_server_ciphers on; 
ssl_session_cache shared:SSL:10m; 
ssl_session_timeout 10m;
# 注释掉下面这行
# add_header Strict-Transport-Security "max-age=31536000"; 
error_page 497 https://$host$request_uri; 
proxy_set_header X-Forwarded-Proto https; 
# ...

② 重载OpenResty服务,详见附录:重载OpenResty服务

附录

(错误的)修改配置文件

警告:此步骤是多余的,是因为刚开始自己对这个问题的理解不够透彻。保留在此只是为了记录在哪修改、Nginx如何进行多条件判断。

1Panel的OpenResty是在容器中运行的,文件持久化保存在/opt/1panel/apps/openresty/

我们需要手动修改配置文件,找到/opt/1panel/apps/openresty/conf/conf.d/xxx.example.com.conf ,修改配置文件如下:

# 如此写是因为,nginx的配置不支持&&和嵌套if
# 当http且80端口时,才强制https
set $flag 0;
if ($scheme = http) {
    set $flag "${flag}1";
}
if ($server_port = 80) {
    set $flag "${flag}2";
}
if ($flag = 012) {
    return 301 https://$host$request_uri;
}

# 以下的原来的配置
# if ($scheme = http) {
#     return 301 https://$host$request_uri;
# }

其实1Panel添加的server配置块里是有指定listen 80;的,其它端口不会访问这个server块,在此问题中并不需要这样子操作。

重载OpenResty服务

提示:执行docker命令,如果不是root用户,记得加上sudo~

① 首先,使用docker ps | grep -i openresty查看容器的名称/ID

$ docker ps | grep -i openresty

在这里插入图片描述

第一串字符是容器ID、1Panel开头的是容器名称,这俩都能用作容器的标识

② 进入容器,执行命令:

# 进入容器CONTAINER_ID的命令行
$ docker exec -it CONTAINER_ID /bin/bash # docker exec -it 2931c7b68ebc /bin/bash

# 检查配置文件确认配置修改正确
$ openresty -t
# nginx: the configuration file /usr/local/openresty/nginx/conf/nginx.conf syntax is ok
# nginx: configuration file /usr/local/openresty/nginx/conf/nginx.conf test is successful

# 见到ok字样后重载配置文件, 立即生效;如果没有ok, 说明配置文件有问题, 根据提示修改!
$ openresty -s reload

至此,服务重载完成。

记一个 Nvidia Control Panel 打不开的问题
蛐蛐的博客
10-21 3955
Nvidia Control Panel 打不开,找到了应用点击没反应。
申请免费阿里云ssl证书并在web面板中(1panel、宝塔面板等)部署
qq_44980517的博客
06-09 1864
申请免费阿里云ssl证书,并部署到web(1panel,宝塔面板面板
使用1Panel面板配置中微子代理(neutrino-proxy)-全域名+https
qq_15631813的博客
03-11 926
全域名优点是如果服务器过期或者IP发生变化 只需要重新部署服务端 改变域名映射即可 不担心客户端配置修改提示:使用版本1panel v1.10.26-lts neutrino-proxy版本 2.0.2。
一次1panel控制面板无法访问
leo的博客
05-22 6041
为排除问题,对ubuntu安装了桌面GHome,安装好后,通过内部浏览器访问1panel面板,奇迹出现了,正常访问,而此时外部浏览器仍然不能访问。正常使用,对docker配置文件进行修改,配置2375端口,修改后重启,1panel控制面板无法访问。检查端口是配置了开放的,此时我又在此打开防护墙,仍能继续访问,就是这么神奇,重启一下防火墙就可以了,通过查看docker的运行状态,各个容器正常运行,应用能够访问,唯独面板不能访问。接下来又重启了多次服务器,仍无果。靠,外部居然能够访问了,
解决Armbian安装UFW防火墙后无法访问1Panel面板的问题:有效解决方案揭秘
缘友一世的博客
06-21 3720
解决Armbian安装UFW防火墙后无法访问1Panel面板的问题:有效解决方案揭秘
1panel 访问报错:ERR_UNSAFE_PORT,端口受限问题解决
Rubik Blog
12-01 2592
安装 1panel 的时候,安装成功,后台显示正常,但是通过浏览器就是无法访问!我使用的端口是 10080这已经是第二次遇到这个问题了,平时不常见,上次遇到还是几年前,折腾了好久,又给忘记了!报错信息:网址为 xxxx 的网页可能暂时无法连接,或者它已永久性地移动到了新网址。
1Panel面板使用反向代理出现无法访问情况的解决方案
chsyts的博客
04-23 2810
初步使用1Panel面板的反向代理功能,出现了反向代理需要域名+端口号的情况,后来查找官方论坛,找到了解决方案。
1Panel面板容器无法使用localhost、127.0.0.1配置链接的问题说明及解决办法
任聪聪的博客
01-08 4703
本篇文章主要讲解1panel容器面板创建运行环境后无法通过localhost、127.0.0.1配置链接的问题说明及解决办法。日期:2024年1月8日作者:任聪聪 (rccblogs.com)
1Panel CloudFlare证书申请失败的解决方案
skyhhjmk的博客
01-28 2034
唯一不足的就是明明已经修改为API Token,应该在面板申请证书时做出提示,并且修改文字为API Token而不是 API Key。为解决此问题,我们需要创建一个新的 API Token 而不是使用 Global API Key。申请证书时,如果是以前创建的Acme账户,那么请选择 RSA2048 的密钥算法。并且Global API Key的命名中完整包含了“API Key”关键字。在升级1Panel后,使用 CloudFlare DNS验证时,会提示。登录后,点击右上角的小人,点击我的个人资料。
1Panel面板一直在加载中
好人一生快乐
02-01 2834
我虚拟机上只有firefox,没其他浏览器,通过ssh连接虚拟机服务器,在电脑上用Microsoft edge浏览器打开内网链接就能正常打开了,输入安装1Panel时的用户名和密码即可登陆了。3.查看监听的是 ipv4 还是 ipv6,如果与访问不一致可以通过 1pctl listen-ip ipv4/ipv6 修改;2.查看端口防火墙是否打开,下面是显示防火墙打开了的端口号的命令。输出显示了自己设置的端口号,说明防火墙是打开的,没问题。说明监听的是ipv4,与访问一致。3.此时一切都没问题,换浏览器。
可视化web管理面板-1panel
u013901725的博客
09-13 992
提到可视化web管理面板,大家广为熟知的就是宝塔面板了,通过web管理单机,非常方便,功能也很多,如果付费,功能也会更多,除了宝塔面板还有很多别的管理工具,例如 国内的wdcp,AMH,cPanel,Webmin。,国外的有DirectAdmin ,Vesta cp,plesk等等,这种面板管理工具,适合的是单机管理,不适合多机器的使用。今天介绍的是1Panel,现代化、开源的 Linux 服务器运维管理面板,重在一个开源。github地址官网文档可以参考。
1panel申请https/ssl证书自动续期
joke博客
09-27 1269
1panel申请https/ssl证书自动续期,腾讯云dns账号申请
宝塔面板绑定域名之后无法登录的两种解决方法【图文教程亲测有效】
热门推荐
zhichina的博客
09-04 1万+
查看许可域名: cat /www/server/panel/data/domain.conf 关闭访问限制: rm -f /www/server/panel/data/domain.conf
使用1panel面板 超简单方式 通过docker安装本地Vaultwarden密码管理器,用nginx反向代理端口使用https(本地搭建,动态域名,端口映射)
sky的博客
09-04 3738
服务器系统:ubuntu server 22.04 面板1panel (自带docker,功能基本都是docker) 路由器:爱快(端口映射,动态域名解析) 反向代理服务器:1panel下的openResty(就是nginx,没什么大区别) 安装 安装openResty 一键安装 安装bitwarden 一键安装 反向代理 bitwarden 访问是需要https 才可以的,这个需要一个域名,并且域名申请证书 解析动态域名 这个有很多方式,我这里用的是阿里
如何在Linux上部署1Panel面板并远程访问内网Web端管理界面
appmao的博客
01-19 1872
总之,选择合适的部署和访问方式,可以大大提升管理的方便性和效率。通过修改Nginx配置文件,并重新加载配置,将请求转发到1Panel面板的内网IP地址和端口。配置域名和SSL证书:根据你的需求,配置你的域名和SSL证书。在Linux环境中部署1Panel面板,并实现安全的远程访问是一种高效管理服务器资源的方式。下载1Panel安装脚本:从1Panel官方网站下载最新版本的1Panel安装脚本,并上传到你的服务器上。设置安全密码:在1Panel面板的设置中,设置一个强密码来保护你的管理员账户和面板
1Panel运维利器:功能详解与实操指南
啥也不会的云计算小白
06-30 6028
1Panel是杭州飞致云信息科技有限公司旗下产品,是一款现代化、开源的Linux服务器运维管理面板,于2023年3月推出。名称:1Panel开源Linux面板所属公司:杭州飞致云信息科技有限公司编写语言:Golang上线时间:2023年3月20日。
服务内部错误: stderr: bash: docker-compose: 未找到命令
tongxin_tongmeng的博客
08-30 3212
服务内部错误: stderr: bash: docker-compose: 未找到命令 (1Panel)
一次1Panel面板安装mysql(docker报错的问题)
weixin_54227009的博客
05-15 4900
在centos上安装了1Panel控制面板之后,利用该面板安装mysql时候报了个错误。最后更换了下docker的源,成功解决问题。
1Panel 2025-04-02 13:27:27 install Log]: ... 在线安装Docker [1Panel 2025-04-02 13:27:28 install Log]: 选择延迟最低的源 https://mirrors.tencent.com/docker-ce,延迟(秒) 0.0420775 [1Panel 2025-04-02 13:27:28 install Log]: 尝试下一个备用链接 https://get.docker.com 正在下载Docker安装脚本 c
最新发布
04-03
<think>好的,用户的问题是关于在线安装Docker时如何解析日志和排查问题,特别是分析1Panel日志中的Docker安装过程以及腾讯镜像源的延迟。首先,我需要回忆Docker安装的常见步骤和可能遇到的问题点。 用户提到使用1Panel,这可能是一个管理面板,所以需要了解1Panel在安装Docker时的流程。通常在线安装会涉及下载依赖、添加镜像源、安装包、启动服务等步骤。日志中的关键信息可能包括网络连接问题、镜像源响应慢、依赖包缺失或版本冲突等。 接下来,腾讯镜像源的延迟分析。国内常用镜像源如腾讯云、阿里云,但有时候网络波动或镜像源服务器问题会导致下载缓慢或超时。需要检查日志中是否有连接超时、下载速度慢的记录,比如HTTP错误码如408或504,或者SSL证书问题。 然后,考虑如何解析日志。用户需要知道具体在哪个步骤出错,比如在添加仓库时gpg密钥获取失败,或者安装包时找不到下载源。可能涉及的命令有curl、apt-get或yum,对应的错误信息需要识别,如“Failed to connect”、“Timeout”、“Certificate verification failed”等。 还要考虑系统环境差异,比如Ubuntu和CentOS的日志路径可能不同,1Panel的日志存储位置也需要确认。此外,可能存在的权限问题,比如用户是否有足够的权限执行安装,或者SELinux/AppArmor的安全限制。 最后,给出排查步骤:检查网络连接、测试镜像源速度、查看详细日志、调整超时设置、更换镜像源等。同时,引用中提到的数据平台组件如Kafka、Prometheus可能不直接相关,但可以建议用户监控系统资源使用情况,比如用Prometheus监控网络延迟。 总结回答结构:先介绍安装流程,然后解析日志关键点,分析腾讯镜像源延迟的可能原因,最后给出排查步骤和优化建议。需要确保使用正确的LaTeX格式,避免错误,并生成相关问题。</think>### 在线安装Docker的日志解析与问题排查 #### 1. **Docker在线安装流程解析** 在线安装Docker时,1Panel的日志通常会记录以下关键步骤: 1. **依赖检查**:验证系统版本(如Ubuntu/CentOS)、内核版本是否符合要求。 2. **镜像源配置**:添加腾讯云镜像源(如`https://mirrors.cloud.tencent.com/docker-ce`),检查GPG密钥导入状态。 3. **软件包下载**:通过`apt-get`或`yum`下载`docker-ce`、`docker-ce-cli`等组件。 4. **服务启动**:执行`systemctl start docker`并验证服务状态。 #### 2. **日志关键字段解析** 在1Panel日志中需重点关注以下字段: - **网络连接问题**:出现`Failed to connect`或`Connection timed out`时,可能是镜像源服务器不可达[^4]。例如: ```bash Err:1 https://mirrors.cloud.tencent.com/docker-ce/linux/ubuntu focal/stable amd64 docker-ce amd64 20.10.12 Could not connect to mirrors.cloud.tencent.com:443 ``` - **镜像源延迟**:若下载速度缓慢(如`Downloading 5%`长时间停滞),可能是腾讯云镜像源负载过高或网络链路拥塞。 - **依赖冲突**:`Unable to correct problems, you have held broken packages`表明存在版本冲突,需手动解决。 #### 3. **腾讯镜像源延迟分析** 腾讯云镜像源(或其他国内源)延迟的常见原因: - **网络链路问题**:通过`traceroute mirrors.cloud.tencent.com`检查路由跳转是否异常。 - **SSL证书验证失败**:日志中出现`SSL_INTERNAL_ERROR`时,需更新系统CA证书包。 - **区域性波动**:不同地区访问腾讯云服务器的延迟差异可能较大,可通过`curl -I https://mirrors.cloud.tencent.com`测试响应时间。 #### 4. **排查步骤** ```bash # 1. 检查基础网络连通性 ping mirrors.cloud.tencent.com # 2. 手动触发安装命令并捕获详细日志(以Ubuntu为例) apt-get update -o Debug::Acquire::http=true 2>&1 | tee docker_install.log # 3. 分析下载耗时(示例日志片段) 2024-01-01 12:00:00 (200 KB/s) - 'docker-ce_20.10.12_amd64.deb' saved [30 MB] ``` 若发现下载速度低于1MB/s,可尝试更换镜像源(如阿里云): ```bash sudo sed -i 's/mirrors.cloud.tencent.com/mirrors.aliyun.com/g' /etc/apt/sources.list.d/docker.list ``` #### 5. **优化建议** - **超时设置调整**:在`/etc/apt/apt.conf.d/`中添加超时参数: ```bash Acquire::http::Timeout "30"; Acquire::https::Timeout "30"; ``` - **使用CDN加速**:通过`curl -sL https://get.docker.com | sh -s -- --mirror Aliyun`指定镜像源[^2]。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值