开启HTTPS-04:端口打通:应用层、系统层、服务器防火墙、CDN,Https测试

在Apache部署好https后,你可能迫不及待要访问你的网站了。自然,可以尝试一下,将网站域名前的http改为https,看看结果如何?

https 04 - operation, marketing, sharing - 开启HTTPS-04:端口打通:应用层、系统层、服务器防火墙、CDN,Https测试

有一定概率你可以直接进入https版本的网站,尽管可能有排版错乱或提示不安全的问题,但你的的确确可以访问。如果如此,可以掠过这个章节,直接进入第五部分。

带很多情况下,你会发现访问结果是403拒绝或者503暂不可用或408请求超时等,总之无法看到网站的任何内容。这种情况下,你就要考虑一下端口问题了。

Apache的443端口

在上一步进行Apache设置的时候,我们没有提到Apache开启443端口的问题。是因为通常在ssl.conf里,会自带一句:

Listen 443 https

而我们引入这个配置文件后会自动开启443端口。并且如果没有开启443端口,开启443端口的虚拟主机会引起报错。但仍然值得检查一下。

软件防火墙的443端口

CentOS 7自带的是firewalle,而老版本则是iptable。笔者已经将firewalle卸载换为iptable,着实是因为不习惯使用firewalle,但不管你安装的是哪一个,都需要注意一下防火墙是否开放了443端口。如果是iptable,可以如下操作:

# iptables -L –n

看看是否开启了443端口,只要有一句是写了443这个数字就基本没问题。如果没有,那么输入下面的命令:

# iptables -A INPUT -p tcp --dport 443 -j ACCEPT

即可开启443端口。

服务器防火墙的443端口

再向上则有服务器的准入问题。阿里云的轻量应用服务器和ECS服务器都有这么一个设计,即通过服务器层对端口的控制来过滤一些请求。

下图是轻量应用服务器的防火墙,可以看到目前允许了这4个端口的进入。默认配置似乎是开启443端口的,但仍然值得查看(ECS里则是叫做“安全组”的配置,道理是一样的)。

04 01 port - operation, marketing, sharing - 开启HTTPS-04:端口打通:应用层、系统层、服务器防火墙、CDN,Https测试

如果不存在443,点击添加规则,开放443端口即可。

CDN的443端口

我在第一篇说过,很多CDN不支持443端口,但如果支持也未必不会出问题。

就拿百度云加速的付费版来说,https是一个需要开启的选项,而不是默认开放的。也就是说,在默认情况下,尽管http正常解析没有问题,开启https后却未必能照样访问。

Https测试

一般来说,检查了上述4个部分,443端口就已经完全开放。但此时访问可能会出现“证书不受信任”这样的问题。这可能是因为:

  • 新申请的证书,还没有进入Symantec的公开列表。稍等再测试即可。
  • 网络连接问题,导致无法在第三方核验该证书。稍等或改善网络环境再测试即可。
  • 浏览器不支持这款证书。使用冷门证书或不受信任的证书可能出现这个问题。

当https能正常访问时,我们的工作已经基本结束了——SSL证书已经部署完成。当然,出现排版混乱或者“有不安全的内容”是非常正常的,后面可以继续解决。

返回上一步:Apache环境准备,SSL证书安装和Apache虚拟主机配置

进入下一步: CMS配置,WordPress开启Https,资源改造和301重定向

微信打赏支付宝打赏

感谢您的支持!

文章来源:卡米雷特的小站www.kamilet.cn)转载请注明出处。

卡米雷特

视觉控&技术控,不断学习中!

您可能还喜欢...

发表评论

电子邮件地址不会被公开。 必填项已用*标注