张哥给客户做的政府类网站,客户专门找机构扫描了下,发现几个高危漏洞。其中一个就是http连接。
百度后,了解了下大概方法。
阿里云上有免费的ssl证书可以申请,挺好。
这里有个坑,客户申请ecs和域名用的是两个阿里云账号。比如ecs是用账号A申请的,域名是用账号B申请的。我开始不知道,用账号A购买ssl证书,提交申请验证的时候,选择文件申请,一直通过不了。打电话问客服才知道,免费的证书有些地方做的不好,建议用dns方式验证,那么必须到域名的阿里账号下。账号B的登录员工信息离职了,中间耽搁了几天,等实际操作人联系到,修改了登录信息,并进行了实名认证,实名认证是必须的,否则不能购买ssl证书。提交购买申请后,提示说注意保持手机畅通,查看邮箱等,不知道这个证书是阿里云自己的,还是另外托管的第三方。证书好像在申请的当天就能下来,我也是后面才知道的,中间白白等了几天。然后根据服务器类型,下载对应的操作文档。
我选的是jks证书,fpx不知道为啥不行,说我format invalid。
tomcat的server.xml放开8443的配置,并把8443的地方都改成了443,然后netstat -ntlp|grep 443,查看到443端口是被监听状态。
问题就出在这里,在浏览器里一直访问不到,后面发起工单,求助阿里云。说是我没有配置安全组,入口规则,防火墙的入站规则。然后到ecs实例的阿里云账号下,在安全组中添加了443入站规则,好了。
我以前用的服务器开放端口都是直接在小黑窗口上搞定,ecs有另外的地方,安全组,这是干啥,细化权责,解耦吗。。。。。。
防火墙要关,开了访问不了。systemctl stop firewalld。