实战:一次“诡异” 的 Nginx 异常排查,真相竟不是证书问题?
💡
原文中文,约4900字,阅读约需12分钟。
📝
内容提要
在添加HTTPS证书后,通过curl请求时出现连接重置问题。经过排查,发现ssl_session_cache参数的设置影响请求成功,调整后问题解决。
🎯
关键要点
- 网站上线后添加HTTPS证书,curl请求出现连接重置问题。
- 通过curl请求HTTP和其他HTTPS域名,发现网络正常。
- 检查证书未到期,怀疑加密套件配置,尝试添加兼容性更高的加密套件无果。
- 使用tcpdump和wireshark抓包分析,发现数据传输的确认包被重置。
- 修改nginx的client相关设置后问题依旧,尝试更换证书为ECC证书。
- 更换证书后出现新的错误,怀疑ECC算法兼容性问题。
- 了解到Redhat/CentOS上curl默认禁用ECC加密,需指定加密套件。
- 对比其他网站的nginx配置,发现ssl_session_cache参数未配置,尝试添加该参数。
- 添加ssl_session_cache参数后问题解决,curl请求不再报错。
- ssl_session_cache参数有四个可选设置,建议使用shared以提高性能。
- 分析发现ssl_session_cache影响curl请求的原因仍不明确,期待他人解答。
- 列举常见nginx日志中的错误信息及其含义,帮助排查问题。
- tcpdump抓包可用,分析需用wireshark,ECC证书推荐使用。
🏷️
标签
➡️
