这辈子只能碰到一次! 记一次SSL无故被撤消!

最新推荐文章于 2023-01-09 14:00:10 发布
最新推荐文章于 2023-01-09 14:00:10 发布
阅读量2.3k 收藏
点赞数
文章标签: 运维
原文链接:http://www.cnblogs.com/zyu911/p/6675660.html
版权

SSL证书刚更新一切都那么正常, 突然有一天网站不能访问了, Chrome浏览器提示有风险, 没有继续访问链接,没有,没有, 重要的事情说三遍, 于是乎赶紧加班查原因, 发展浏览器报的错误是证书撤消(不敢相信,难不成....), 赶紧试所有的有浏览器试了个遍都一样又去手工验证, 天哪是真的, 只能打CA提供商客服了. 原来是CA那边出bug了, 具体什么bug就是好多ssl证书没验证域名所有权就发证书了, 无语....

  • 解决方法, 重新认证域名控制权, 具体就是在主域下上传一个html文件, 内面写入他们提供的唯一id, 将html页面做到指定的url上本地就配置好了, 然后登录其网站点击去验证,应该就OK了
    940159-20170406215322378-1603960183.png
  • 验证完毕就可以下载证书文件了, 跟根服务器类型选择下载(我的是nginx选择其它类型), 包里面有两个文件一个貌似随机字符串就是我们需要的证书, 另外一个是根证书证书链文件, 将两个文件合并
    cat 53f58e3ac2172cd5.crt gd_bundle-g2-g1.crt > domain.crt将这个文件和服务器上的server.key设置到nginx.conf中就完成了, 过程倒是不复杂,关键是太吓人...谁能想到这玩意儿会被撤消...

下面附上提交申请到配置nginx的详细笔记:

申请SSL并配置nginx,整体流程是:

1. 生成密钥,生成时必须得输入密码, 生成后再删除密码
2. 生成csr文件, 输入国家, 省, 市, 公司名, 部门(可不输), 邮箱, 最后是密码(直接回车不输入)
3. 拷贝csr文件内容到godaddy网站csr内并提交申请
4. 批准后选择服务器类型下载证书(nginx服务器选择其它类型)
5. 将证书上传到服务器(我传到/etc/ssl/文件夹内)
6. 将key文件邮件密码备用
7. 将两个crt证书文件合并(随机字符串名的文件在并面)
8. 编辑nginx服务器配置文件
9. 重起nginx服务器

  • 准备工作:
    ```
    ubuntu@xxxxxx:~$ pwd
    /home/ubuntu
    ubuntu@xxxxxxx:~$ openssl genrsa -des3 -out server.key 2048 # 命令!产生一个最少2048的密钥
    Generating RSA private key, 2048 bit long modulus
    ...+++
    ...+++
    e is 65537 (0x10001)
    Enter pass phrase for server.key: # 输入密码
    Verifying - Enter pass phrase for server.key: # 再次输入

    ubuntu@xxxxxx:~$ openssl req -new -key server.key -out server.csr # 使用这个key生成申请文件
    Enter pass phrase for server.key: # 输入密钥的密码
    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [AU]:CN # 国家(两位字母)
    State or Province Name (full name) [Some-State]:Beijing # 省份
    Locality Name (eg, city) []:Beijing # 城市
    Organization Name (eg, company) [Internet Widgits Pty Ltd]: Astrowings for zhangyu # 公司名
    Organizational Unit Name (eg, section) []: # 部门(可不写)
    Common Name (e.g. server FQDN or YOUR name) []:homeba.com.cn # 域名, (也可*.homeba.com.cn泛域名)
    Email Address []:zyu911@126.com # 公司对外邮箱

    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []: # 直接回车
    An optional company name []: # 直接回车完成
    ubuntu@xxxxxxx:~$

    # 执行以下命令去除密钥文件的密码(很重要否则nginx会出问题, 每次重起都要输入密码)
    openssl rsa -in server.key -out server_nopass.key
    ```

  • 申请并下载
    ```
    # 查看生成的xxxx.csr文件并将内容拷贝到网页上面的csr去申请证书
    [root@xxxxxxx ~]# cat xxxx.csr
    -----BEGIN CERTIFICATE REQUEST-----
    MIICwzCCAasCAQAwfjELMAkGA1UEBhMCQ04xEDAOBgNVBAgMB0JlaWppbmcxEDAO
    BgNVBAcMB0JlaWxxxxxxxxxxxxxxxxxxxxxxxxxxxxxWMBQGA1UEAwwNaG9tZWJh
    LmNvbS5jbjEiMCAGCSqGSIb3DQEJARYTYWRtaW5AaG9tZWJhLmNvbS5jbjCCASIw
    DQYJKoZIhvcNAQExxxxxxxxxxxxxxxxxxxxxxxxxxxxxxEI5RuO+Wa1uEYujZLoO
    88dVU99va7wBFP/iPXKOlegBUoSulAsB2Rc8xJaybPzpB3z26ZFjkzt4cuccFgoB
    IZx6f/5phv4QXI7f+yTvnWD7u6eypAkN6tURF3RxiIayTg5e6lfXQOGOsuD1hgve
    YDUoEw0bZzHFRYvtQ5b1vUnaLuKCDxy+jyo/dLsf5/8JyUxuJyEHWZg2fd/WdtQ6
    Rt91wcTLlKdV1ToT4cu1PInqJZY5H+4R7u1nu8nmOekCed6uXmHqFrEPIaNetgvL
    n/UvNJzeCN7/s1taAE/xxxxxxxxxxxxxxxxxxxxxxxxxxxhv64CIy/gKFR0CAwEA
    AaAAMA0GCSqGSIb3DQEBBQUAA4IBAQDksoRnUd5Jit5OiStYDRkvbtpZ+z68zAaT
    thp7lGjw8Ranl5e36qKjraP1EKYH55Pov1jl0zhL+vruCfSfb1CEKzwkZy54NbRj
    OHwF/Mqeyu2Lg8xU/VNzkxxxxxxxxxxxxxxxxxxxx7xt33puCCJKI9JGGyX1DQBi
    i8dkTkwEUmG643mHmt1oUKxaSH8Zi9aW946sG39v1iH2dCl2LQ9H4jyGAG/mV0rw
    gIVOApRrJH3BTBcY8WExxxxxxxxxxxxxxxxxxxxxxxxcFAXoEwjI7QODRD45iNZD
    Fr5IYhaUSOVrXxNk/03jIwafsBupR2Ur6RKf/9x01xoAnjuLTy4e
    -----END CERTIFICATE REQUEST-----

    # 证书批准后从godaddy下载证书文件 如果是nginx服务器选择其它种类并下载.zip文件.解压后是两个文件:
    53f58e3ac2172cd5.crt # 域名证书
    gd_bundle-g2-g1.crt # 根证书

    # 而后使用如下命令合并证书
    cat 53f58e3ac2172cd5.crt gd_bundle-g2-g1.crt > domain.crt
    ```

  • 配置nginx
    ```
    server {
    listen 443 ssl;
    server_name xxoo.com.cn www.xxoo.com.cn;

      ssl on;
  ssl_certificate /etc/ssl/domain.crt;    # 全并后的证书!
  ssl_certificate_key /etc/ssl/server_nopass.key;   # 去除密码的key私钥文件

  location / {
      proxy_pass http://unix:/tmp/ooxx.sock;
      proxy_set_header Host $host;
      proxy_set_header X-Real-Ip $remote_addr;
      proxy_set_header X-Forwarded-Proto $scheme;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      # uwsgi_pass    xxxoo;      # 以后要用uwsgi
      # include uwsgi_params;
  }

  location /static {
      root /var/www/ooxx;
  }
  location /Robots.txt {
      root /var/www/ooxx;
  }

    }

    server {
    listen 80;
    server_name xxoo.com.cn www.xxoo.com.cn;
    # rewrite ^(.)$ http://xxoo.com.cn$1;
    rewrite ^(.    )$ https://$host$1 permanent;
    }
    ```

转载于:https://www.cnblogs.com/zyu911/p/6675660.html

badiu_30394251
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
史上最全网址导航大全,让世上没有找不到的好东西
lzcsdn233的博客
01-04 24万+
收录的导航网址大全 好用和常用的网址几乎都在里面,个人喜欢往浏览器书签收藏夹里塞喜欢的干货和网站,以至于收藏夹里有着几千条网址,所以比较喜欢导航,但是浏览器原生自带的导航又太low,所以一般自己设置打开浏览器时即开的导航页便于工作和学习. 辛苦收集整理,喜欢给个赞哦???? 常用 导航名 地址 今日热榜 https://tophub.today 龙轩导航 http://ilxdh.c...
AS学习网址大全
WZ_Yong的专栏
03-29 1万+
都是我在学习过程中精心收集的,大部分为国内网站,绝对是您学习AS最好的去处。本贴于2010年3月22日再次更新,并新加了很多好的网站。1.同时将网址全都贴出来,方便不想下载的朋友使用。2.附件里倒出的bookmarks方便大家直接倒进浏览器。中文博客   Horidream’s Blog http://www.horidream.com/blog   7Yues Weblog  http://w
有声图库/有声图社/有声照片/有声图片
02-22
安卓上面制作有声照片的工具,并且有社区分享功能
全国物流快递查询网址大全
weixin_33690963的博客
08-07 3805
http://www.kiees.cn/default.htm
通过http://域名:443访问网址
qq_28546559的博客
07-21 7526
1,直接在宝塔网站配置加入——listen 443 2,http://域名:443访问——如果包含了页面跳转,会出现跳转到https的问题——无法解决,主要方法就是不跳转,使用vue单页面程序。 3,微擎内部attachul,siteroot都是https而且没有443,需要更改微擎的文件。 ...
基于一种适用于SSL产品的LED控制电路设计
01-19
不适用于需要外部运行电路或外部散热器的SSL产品,如LED芯片、LED封装和LED模块,也不适用于为未配备光源的SSL产品而设计的装置。      2.测量参数  光参数:总光通量、发光效率、...
SSL.rar_Action!
09-24
this is a security protocol. we will explore the mechanism of action of ssl protocol.
一行命令,轻松搞定SSL证书自动续期
最新发布
03-05
一行命令,轻松搞定SSL证书自动续期。 SSL证书,SSL证书管理,SSL证书 自动续期,SSL 证书自动更新,https证书管理,https证书管理,证书自动续签,nginx证书自动续期工具,nginx证书管理。
sslkeylog:一个以NSS密钥日志格式SSL会话密钥的Ruby库
05-21
SSLkeylog 一个Ruby库,它以录来自客户端连接的SSL会话密钥。 分析网络流量时,诸如的工具可以使用此日志来解密数据。 注意:此版本的库是功能原型。 将来可能会更改实现。安装该gem使用C扩展名从Ruby OpenSSL::...
简单三步教会您 Tomcat 安装SSL证书,Tomcat安装https证书,一看就会,一做就成!
12-29
Tomcat 安装SSL证书,Tomcat安装https证书 简单三步教您配置Tomcat 安装SSL证书 压缩包内有 server.xml 、web.xml 示例文件,一看就会,一做就成!
打发无聊的100个网站
博客转移到个人主站,请大家移步 http://www.soskp.com/
12-12 21万+
1,打发无聊时光的100个很经典的令人感叹为止网站,看看自己具有哪个大明星的脸型 http://www.play-analogia.com/cgi-bin/index/ <br />2,超有意思的Flash网站,虚拟办公 http://agencynet.com <br />3,亲自动手给美女画纹身 http://www.crustydemons.co.uk/UK/tattoo_parlour/index.html <br />4,输入文字就发出声音! http://www.putonghuaonline.
[转]2006年it人士必去的10个网站
majiawangzi的专栏
05-26 1659
1、chinaunix网址:http://www.chinaunix.net/简介:中国最大的linux/unix技术社区。 2、itpub网址:http://www.itpub.net/ 简介:有名气的IT技术论坛,看看它的alexa排名就知道有多火了,尤其以数据库技术讨论热烈而闻名。ITPUB论坛的前身是建立在smiling的oracle小组。3、51cto网址:http://www.
禁用java跳过本地验证实例
eldn__的专栏
12-01 1万+
来源:习科技术论坛   作者:aijieyu 目标:http://www.xxoo.com.cn ASPX+access的+IIS7.5的站点 那么多大神都搞过,要说存在什么注入和编辑器什么的大神们早就搞了! 虽然这样扫描还是要扫的,但是我扫的是目录 找到后台 http://www.xxoo.com.cn/manage/login.aspx   弱口令什么的都是没有的,
100多个经典超酷网站收集
shaily读书学习
05-11 1万+
  1,看看自己具有哪个大明星的脸型 http://www.play-analogia.com/cgi-bin/index/2,超有意思的Flash网站,虚拟办公 http://agencynet.com3,亲自动手给美女画纹身 http://www.crustydemons.co.uk/UK/tattoo_parlour/index.html4,输入文字就发出声音! http://www.put
全球最大成人网站公布年度榜单!原来lsp最爱看的是这种片……
热门推荐
tanqingbo的博客
01-09 43万+
前几天,那个号称全球最大的成人网站P***hub,发布了《2022年度报告》。别惊讶,这已经是P某发布年度报告的第9个年头了。正所谓,知己知彼百战不殆。不发年度报告,怎么总结过去,展望未来?怎么知道老司机们在2022年,最喜欢看的到底是哪种片?最集中的看片时间是什么时候?看片的人群中到底是男娃多,还是女娃多?是吧?好,废话不多说了,咱们一起来看一下今年的统计吧。1、2022年,P站老司机们最爱的是...
clcl.tv index.php,www.xxoommm.info
weixin_35057804的博客
03-12 1万+
Domain Name: XXOOMMM.INFORegistry Domain ID: D503300000032813918-LRMSRegistrar WHOIS Server: whois.namecheap.comRegistrar URL: www.namecheap.comUpdated Date: 2017-02-06T16:17:55ZCreation Date: 2017-02...
Python 获取动漫番剧 -XXOO
JueDream的博客
01-27 3万+
前言 没有什么好说的,就是想起来前些年失恋使劲刷番剧缓解自己糟糕的情绪。纪念下。 一、直接上代码 1.搜索入口 # 搜索动漫名称 列表 def get_video_list(name): # 开启代理 # proxy = {'http': 'http://127.0.0.1:8080', 'https': 'https://127.0.0.1:8080' } url = 'http://www.7666.tv/search.php?searchword=' + nam...
中国最大字幕组“人人影视”凉了!警方通报:因盗版视频14人被抓
中生代技术
02-04 4527
转自:扩展迷2月3日,上海市公安局召开新闻发布会,主要通报了“除隐患铸平安”专项行动中,近期侦破的2起案件。据“警民直通车上海”微信公众号消息,1月1日至今,上海市公安机关累计破获侵权假冒...
hdu(4438)
Roly
03-13 2万+
题目:http://acm.hdu.edu.cn/showproblem.php?pid=4438 2012亚洲区天津站的一道题,求期望问题,推出公式就解了,注意当Alice和Bob选择相同的时候,他们同时猎杀一只之后又同时去猎杀另一只。 #include int main(){     int t;     scanf("%d",&t);     while(t--){  
burpsuite proxy第一次使用
09-07
因此,当你第一次使用Burp Suite的代理功能时,你需要打开Burp Suite并设置HTTP代理,以便捕获和修改HTTP请求和响应。然后,如果你需要抓取HTTPS请求和响应,你还需要设置HTTPS代理(SSL代理)。<span class="em">1...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值