暂无个人介绍
系统的文件句柄可能有限制,调整一下,参考:http://blog.csdn.net/azhao_dn/article/details/7175688的方法
当你遇到一些服务器故障的时候会用得到tcp/ip:
例如连接过多,丢包,路有不通等等比较底层的问题的时候
codecheng说的是对的,服务端尽量不要主动关闭连接,谁主动关闭连接谁就会进入timewait阶段。
有几个思路:
这个问题是阿里云海外的配置问题,国内是没有问题的
已经把问题发给相关同学改进。
首先找到谁在使用这个端口,可以用root账户
netstat -anpt | grep 443
然后看到最右边应该有一个进程名字和进程号,然后
ps aux | grep 进程号
就能看到是谁在占用443端口的,之后就简单了,可以粗暴的kill 进程号或者调用这个进程的退出脚本。如果还不退出就kill -9 进程号,一般过一会这个端口就会释放的。
是否设置了代理服务器?关闭VPN等代理试试
哥们,你这个问题没人能回答啊。。。你的配置是什么,你的网站是什么,你服务器的错误日志是什么。。。。
参考:《https权威指南》中的《 配置 Java 和 Tomcat》
可以参考这个配置,我怀疑你配置的一些算法不支持TLS1.2。另外最好把完整的配置拿出来以及nginx的error_log里面的报错信息
ssl_protocols TLSv1.2;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
ssl_prefer_server_ciphers on;
来源:https://mozilla.github.io/server-side-tls/ssl-config-generator/
原因是在PC端,当缺少中间证书链的时候,浏览器(操作系统)会自动去下载,而手机端特别是Android的手机是不会做这件事情的,因此在配置证书的时候,还需要带上证书链的信息。
拿到阿里云给你的证书之后,这里面会有服务器证书(假设名字叫做server.crt)和中间证书(假设名字叫做intermediate.crt),在linux下面可以执行命令:
cat server.crt intermediate.crt > fullcertificate.crt
然后用这个fullcertificate.crt替换你原来配置里面server.crt,应该就没有问题了。
关于证书链的原理可以参考:http://lukejin.iteye.com/blog/587200
我建议你完全拷贝80端口的配置,并且把新配置里面80端口改成443,然后再去配置https,403错误不是ssl的配置问题,出现这个错误说明已经ssl建立连接成功了
可以看看errorlog里面的提示,看看有什么错误。
你的问题确实是因为该站点没有配置到正确的证书,用的是你自己的证书。你可以在自己的测试环境删掉自己的原来的那张自己签名的证书,然后看看新证书是否生效,我是使用这个命令可以查看到你的证书配置错误:
openssl s_client -connect www.parkingto.com:443
CONNECTED(00000003)
depth=0 /CN=AY140302205818Z
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /CN=AY140302205818Z
verify error:num=21:unable to verify the first certificate
Certificate chain
0 s:/CN=AY140302205818Z
Server certificate
-----BEGIN CERTIFICATE-----
MIIC4jCCAcqgAwIBAgIQX/Wi63qdPKFNHYihNJ8heTANBgkqhkiG9w0BAQUFADAa
MRgwFgYDVQQDEw9BWTE0MDMwMjIwNTgxOFowHhcNMTYwNDA3MDYwOTE4WhcNMTcw
NDA3MDAwMDAwWjAaMRgwFgYDVQQDEw9BWTE0MDMwMjIwNTgxOFowggEiMA0GCSqG
SIb3DQEBAQUAA4IBDwAwggEKAoIBAQCU3yutExmjjySdCrPhnNTZAtPIT72H683+
uddd8Hi2W9Ztu75xD6Eo0nfXBDkexGCt9ZPrJ3CGoUvZ+B9jFZLNzbpotdpTnikS
3Axz+Qc+6mZWynBrVPp+5DNVyOhANMl89XEucHZpqvHJgzW9MUhb+dcOpE/xqE7M
181hWDmhpWeSKfMcsL7oXjhJ2BRg7Y4v8daFSysHSzI7Au8mBDrgo2CIl1i3nEET
tL+cl67b1c8oFtWQhiWy5bZIW48aNpbz1HNed5ShhaezYfRnIfesg8XSScGAxGfo
TVyjGLRaAXbdm+wKyXvDUh/xDh2Z8f+YSqPwUWN2OIsR2lmtpFTBAgMBAAGjJDAi
MAsGA1UdDwQEAwIEMDATBgNVHSUEDDAKBggrBgEFBQcDATANBgkqhkiG9w0BAQUF
AAOCAQEAOTWweKPG9u1Uyb/WZFNDeztlNHAy7JbUtDtYvnaTThcBRrPg6BWBzubJ
PlIYV19g1wiEnyGs8jRalSWvgLfoyEDyo5I4m7U9S0v48y4H4dwJY2esxrfFidXY
7GIJvdcBbzAdONL4H97G/L8ikpqgMS/c4E+uZvSLCNvjLUFGtTXiFQhvrJ4VRI/Y
gclz+Rb72EiPJlF86ddZV3bmIqffLtKq7g/i/ZdbqfiHopeVbh6TEpW46+f6DeEf
bwcgIUsqqkd82ljIW8wbyouL+vPz49bM4Yp/QdiWCoMlUYAs1W8TVCqlC92rE5br
lwruP5CZeZaUciunuToEUWV0hDZvaA==
-----END CERTIFICATE-----
subject=/CN=AY140302205818Z
SSL handshake has read 901 bytes and written 456 byte
另外如果对IIS配置证书不熟悉,可以参考《https权威指南》里面的《配置 Microsoft Windows 和 IIS》章节,里面有详细的介绍,包括如何配置证书,如何选择算法:
我强烈建议你参考这篇文章:https://wiki.mozilla.org/Security/Server_Side_TLS,介绍了配置后面的原理。
然后配置声称可以使用这个url:https://mozilla.github.io/server-side-tls/ssl-config-generator/
server {
listen 80 default_server;
listen [::]:80 default_server;
# Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response.
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
# certs sent to the client in SERVER HELLO are concatenated in ssl_certificate
ssl_certificate /path/to/signed_cert_plus_intermediates; ## ->替换成你的证书链
ssl_certificate_key /path/to/private_key; #-》替换成你的证书私钥
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
# modern configuration. tweak to your needs.
ssl_protocols TLSv1.2;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
ssl_prefer_server_ciphers on;
# HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
add_header Strict-Transport-Security max-age=15768000;
# OCSP Stapling ---
# fetch OCSP records from URL in ssl_certificate and cache them
ssl_stapling on;
ssl_stapling_verify on;
}
原来你的路径是:
CLIENT ->(HTTP2 or SPDY) -> YOUR_WEB_SERVER
使用CDN的路径之后是:
CLIENT -> (HTTP2) -> Aliyun CDN -> (HTTPS) ->YOUR_WEB_SERVER
用户访问CDN的话,是由CDN的配置决定的。现在aliyun CDN回到用户源站应该是不支持HTTP2的。
server {
listen 80;
server_name www.example.com;
return 301 https://$host$request_uri;
}
将www.example.com替换成你的域名。