问题现象:SSL证书更新不生效,域名直接解析到ECS。
排查内容:ECS内部证书更新是正常的,但是找不到哪里影响了SSL证书更新不生效。
排查方法总结:
可以登录ECS 本机curl测试下证书到期时间是否生效,测试如果生效,则说源站配置正确,就不用费时间检查配置了。
参考命令:
(1)如果是容器,首先找出443监听在哪个容器上,然后查询容器内网IP
列出所有容器的IP地址
docker inspect --format='{{.Name}} - {{range .NetworkSettings.Networks}}{{.IPAddress}}{{end}}' $(docker ps -aq)
然后如下命令可以指定host域名测试,访问容器内网ip看下是否正常,会列出证书到期时间等信息
curl -I -v -H "HOST:www.aliyun.com"https://192.168.3.23
(2)然后上述内网ip改为公网ip再测试下,外网找台测试机也测试下,看是否一致。
结论:
此次问题本机测试(证书生效)和外网测试(不生效)不一样,如果配置了waf看到有配置透明接入,对443端口做了引流,也配置了ssl证书,得知这个证书不生效是这里影响的,需要在waf侧更新证书。
