李振宇_个人页

系统的文件句柄可能有限制，调整一下，参考：http://blog.csdn.net/azhao_dn/article/details/7175688的方法

当你遇到一些服务器故障的时候会用得到tcp/ip：
例如连接过多，丢包，路有不通等等比较底层的问题的时候

codecheng说的是对的，服务端尽量不要主动关闭连接，谁主动关闭连接谁就会进入timewait阶段。

有几个思路：

1. 服务端的keepalive时间设置的更长一点，解决客户端浏览器默认情况下很久才会close连接问题，当然这样的后果是established状态的数量会更多，不过nginx去扛keepalive连接一般情况下都问题不大的。
2. 客户端是否忘记了close socket？这种情况的话一定要修复掉

这个问题是阿里云海外的配置问题，国内是没有问题的

已经把问题发给相关同学改进。

首先找到谁在使用这个端口，可以用root账户

netstat -anpt | grep 443

然后看到最右边应该有一个进程名字和进程号，然后

ps aux | grep 进程号

就能看到是谁在占用443端口的，之后就简单了，可以粗暴的kill 进程号或者调用这个进程的退出脚本。如果还不退出就kill -9 进程号，一般过一会这个端口就会释放的。

是否设置了代理服务器？关闭VPN等代理试试

哥们，你这个问题没人能回答啊。。。你的配置是什么，你的网站是什么，你服务器的错误日志是什么。。。。

参考：《https权威指南》中的《 配置 Java 和 Tomcat》

可以参考这个配置，我怀疑你配置的一些算法不支持TLS1.2。另外最好把完整的配置拿出来以及nginx的error_log里面的报错信息

ssl_protocols TLSv1.2;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
ssl_prefer_server_ciphers on;

来源：https://mozilla.github.io/server-side-tls/ssl-config-generator/

原因是在PC端，当缺少中间证书链的时候，浏览器（操作系统）会自动去下载，而手机端特别是Android的手机是不会做这件事情的，因此在配置证书的时候，还需要带上证书链的信息。

拿到阿里云给你的证书之后，这里面会有服务器证书（假设名字叫做server.crt)和中间证书(假设名字叫做intermediate.crt)，在linux下面可以执行命令：
cat server.crt intermediate.crt > fullcertificate.crt
然后用这个fullcertificate.crt替换你原来配置里面server.crt，应该就没有问题了。

关于证书链的原理可以参考：http://lukejin.iteye.com/blog/587200

我建议你完全拷贝80端口的配置，并且把新配置里面80端口改成443，然后再去配置https，403错误不是ssl的配置问题，出现这个错误说明已经ssl建立连接成功了

可以看看errorlog里面的提示，看看有什么错误。

你的问题确实是因为该站点没有配置到正确的证书，用的是你自己的证书。你可以在自己的测试环境删掉自己的原来的那张自己签名的证书，然后看看新证书是否生效，我是使用这个命令可以查看到你的证书配置错误：

openssl s_client -connect www.parkingto.com:443
CONNECTED(00000003)
depth=0 /CN=AY140302205818Z
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /CN=AY140302205818Z
verify error:num=21:unable to verify the first certificate

verify return:1

Certificate chain
0 s:/CN=AY140302205818Z

i:/CN=AY140302205818Z

Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/CN=AY140302205818Z

issuer=/CN=AY140302205818Z

No client certificate CA names sent

SSL handshake has read 901 bytes and written 456 byte

另外如果对IIS配置证书不熟悉，可以参考《https权威指南》里面的《配置 Microsoft Windows 和 IIS》章节，里面有详细的介绍，包括如何配置证书，如何选择算法：

我强烈建议你参考这篇文章：https://wiki.mozilla.org/Security/Server_Side_TLS，介绍了配置后面的原理。
然后配置声称可以使用这个url：https://mozilla.github.io/server-side-tls/ssl-config-generator/

server {

listen 80 default_server;
listen [::]:80 default_server;

# Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response.
return 301 https://$host$request_uri;

}

server {

listen 443 ssl http2;
listen [::]:443 ssl http2;

# certs sent to the client in SERVER HELLO are concatenated in ssl_certificate
ssl_certificate /path/to/signed_cert_plus_intermediates;  ## ->替换成你的证书链
ssl_certificate_key /path/to/private_key;  #-》替换成你的证书私钥
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;

# modern configuration. tweak to your needs.
ssl_protocols TLSv1.2;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
ssl_prefer_server_ciphers on;

# HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
add_header Strict-Transport-Security max-age=15768000;

# OCSP Stapling ---
# fetch OCSP records from URL in ssl_certificate and cache them
ssl_stapling on;
ssl_stapling_verify on;

}

原来你的路径是：
CLIENT ->(HTTP2 or SPDY) -> YOUR_WEB_SERVER
使用CDN的路径之后是：
CLIENT -> (HTTP2) -> Aliyun CDN -> (HTTPS) ->YOUR_WEB_SERVER

用户访问CDN的话，是由CDN的配置决定的。现在aliyun CDN回到用户源站应该是不支持HTTP2的。

1. 跳转是在服务端设置的，例如如果你用的是nginx，可以这么设置：

server {

listen 80;
server_name www.example.com;
return 301 https://$host$request_uri;

}

将www.example.com替换成你的域名。