一个域名问题

一.写在前面

前天遇到了一个问题就是我用edge和firefox浏览器可以用daxiongx.cn来访问就有ssl证书,但是用google和手机就不行,然后通过我发现是因为我申请的证书没包括daxiongx.cn这个主域名,申请的是www.daxiongx.cn,那为什么edge就可以呢,问了ai,ai说是我以前用edge访问过daxiongx.cn,然后服务做了代理跳转到了www.daxiongx.cn,然后走了缓存才会这样的,这个是测试域名的ssl证书的网站

ssl server test

下面是和ai的对话总结

二.对话

我们刚刚主要排查了 Let's Encrypt 给 daxiongx.cn 主域名补证书 这件事。

1. 你现在的证书情况

你执行了:

bash 复制代码
sudo certbot certificates

看到当前证书名是:

text 复制代码
www.daxiongx.cn

证书里已有域名是:

text 复制代码
www.daxiongx.cn
minio-console.daxiongx.cn
minio.daxiongx.cn
www.ws.daxiongx.cn
xadmin.daxiongx.cn

但是没有主域名:

text 复制代码
daxiongx.cn

所以 https://daxiongx.cn 在 Chrome 里可能会证书不匹配。


2. 为什么 Edge 能访问,Chrome 不行

因为旧证书没有 daxiongx.cn

如果 Edge 实际访问的是:

text 复制代码
http://daxiongx.cn

Nginx 可以先收到 HTTP 请求,然后 301 跳转到:

text 复制代码
https://www.daxiongx.cn

www.daxiongx.cn 在证书里,所以能打开。

但如果 Chrome 直接访问:

text 复制代码
https://daxiongx.cn

浏览器会先做 TLS 握手和证书校验。旧证书里没有 daxiongx.cn,所以证书校验失败。这个时候 HTTP 请求还没到 Nginx,Nginx 的 301 跳转根本没有机会执行。

所以解决办法就是:daxiongx.cn 加进证书里。

之后如果你还想让主域名跳到 www,Nginx 可以这样写:

nginx 复制代码
server {
    listen 443 ssl;
    server_name daxiongx.cn;

    ssl_certificate /etc/nginx/cert/www.daxiongx.cn.pem;
    ssl_certificate_key /etc/nginx/cert/www.daxiongx.cn.key;

    return 301 https://www.daxiongx.cn$request_uri;
}

前提是证书已经包含 daxiongx.cn

相关推荐
m0_740859623 小时前
Nginx进行配置文件拆分(以windows解压版为例)
nginx
开发小程序的之朴5 小时前
认识安企CMS-安装安企CMS的环境要求
nginx·golang·系统架构
考虑考虑12 小时前
nginx配置ssl
运维·后端·nginx
至乐活着14 小时前
ELK日志系统从零搭建到实战:Nginx日志采集与可视化全攻略
nginx·elk·elasticsearch·docker·日志系统
激情的学姐1 天前
【大型网站技术实践】初级篇:借助Nginx搭建反向代理服务器
运维·nginx
2501_943782351 天前
【共创季稿事节】摇骰子:用 ArkTS 实现随机动画与交互反馈
运维·nginx·交互·harmonyos·鸿蒙·鸿蒙系统
开发小程序的之朴2 天前
认识安企CMS - 系统概述
nginx·golang·系统架构
小蜗牛的路2 天前
使用OpenSSL生成本地证书https+nginx
网络协议·nginx·https
芷栀夏2 天前
飞牛NAS怎么部署Immich?家庭照片自动备份与远程访问教程
服务器·nginx·ansible
難釋懷7 天前
Nginx-rsync客户端免密
运维·nginx