游客aibpa7lcxvmsc_个人页

阿里云SSL证书存在有效期限制（默认为1年）。证书过期前必须及时续费，否则将导致证书过期后不被信任，已安装证书的网站业务会受到影响（提示访问不安全或无法访问）。若您的负载均衡的SSL证书已失效，则需要重新购买证书，然后将证书重新部署到网站业务。

• 请参见SSL证书快速上手，将证书部署到网站业务。对于已经部署到阿里云产品的证书，建议您为该证书开启了托管服务（到期自动续费更新），同时建议您为该证书开启到期自动部署。证书同时开启托管和到期自动部署后，SSL证书服务会在该证书到期前自动续费更新证书，并自动将更新后的证书部署到对应的阿里云产品。关于到期自动部署的具体操作，请参见开启到期自动部署。
• 如果您没有为证书开启托管服务，则必须在证书到期前通过续费购买手动更新证书，并手动将更新后的证书重新部署到对应的阿里云产品，才能继续使用证书。相关操作，请参见续费购买证书。

可能的问题原因如下：

• 负载均衡CLB的监听配置中未开启会话保持功能。
• 会话保持时间设置过小。
• 使用HTTP/HTTPS监听，当后端服务器返回4XX的HTTP状态码时，报文中无法插入会话保持所需的Cookie，导致会话保持失效。
• 使用HTTP/HTTPS监听，当后端服务器返回302重定向的HTTP状态码时，会话保持中的SERVERID字串将被改变，导致会话保持失效。

检查会话保持是否生效：

1. 登录传统型负载均衡CLB控制台。
2. 单击目标实例ID进入实例详情页面，单击监听页签，单击监听名称。
3. 在监听详情页面，查看会话保持是否开启。
4. 如果会话保持已经开启，检查会话保持的超时时间。如果超时时间设置过小，可能会导致会话保持失败。可以尝试使用默认超时时间或者适当增加超时时间，同时观察会话保持状态。
5. 在浏览器端捕抓请求与响应的回复信息，或使用抓包软件分析是否存在如下报文。如果存在如下报文，则建议改用TCP监听。因为TCP监听是通过源客户端的IP地址进行会话保持的。您还可以在后端Web程序中插入Cookie，并对其进行判断，以确保会话保持的有效性。
   • 302重定向的报文：负载均衡植入Cookie时，如果后端ECS实例返回302重定向的报文，将改变会话保持中的SERVERID字串，导致会话保持失效。
   • 4XX响应码的报文：负载均衡无法在4XX响应码的报文中插入会话保持所需的Cookie。

这种场景建议在web服务前端部署ALB+WAF，WAF做恶意请求的识别和处理，ALB作为反向代理+丰富转发规则替代自建nginx，同时ALB有阿里云提供的SLA保障，可以减少nginx自运维带来的故障风险。

ALB介绍：

ALB是阿里云推出的专门面向HTTP、HTTPS和QUIC等应用层负载场景的负载均衡服务，具备超强弹性及大规模应用层流量处理能力。ALB具备处理复杂业务路由的能力，与云原生相关服务深度集成，是阿里云官方提供的云原生Ingress网关。

https://help.aliyun.com/document_detail/197202.html

WAF介绍：

WAF可以有效识别Web业务流量的恶意特征，在对流量清洗和过滤后，将正常、安全的流量返回给服务器，避免网站服务器被恶意入侵导致性能异常等问题，从而保障网站的业务安全和数据安全。

https://help.aliyun.com/document_detail/378298.html