search

chaitin / SafeLine

serve as a reverse proxy to protect your web services from attacks and exploits.
https://waf.chaitin.com
GNU General Public License v3.0
11.87k stars 729 forks source link

[Bug] 站点部署SSL证书问题 #530

Closed QYG2297248353 closed 5 months ago

QYG2297248353 commented 8 months ago

问题描述

【服务器A】IPA:APORT 单独安装雷池WAF服务 接管 80,443 端口 强制SSL 复制服务器B的证书 【服务器B】IPB:BPORT Nginx 服务 接管 80,443 端口 强制SSL 配置了证书 说明:80端口只是顺便配置了,并且都是强制SSL

我希望的配置: DNS解析到 IPA 再雷池添加域名站点,上游指向 IPB 填写的: https://ipb (默认ssl省略端口443) 说明:雷池中我已添加,域名站点的证书

配置完成时正常,网站也能访问,雷池记录也有生成,等了半小时左右,网站打不开,控制台显示已取消。 服务器请求测试:结果为证书不匹配

[root@iZ2vcbyvsren4abr3rgp0mZ ~]# curl -v -H "Host: '域名'" https://127.0.0.1:443
* About to connect() to 127.0.0.1 port 443 (#0)
*   Trying 127.0.0.1...
* Connected to 127.0.0.1 (127.0.0.1) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
*   CAfile: /etc/pki/tls/certs/ca-bundle.crt
  CApath: none
* Server certificate:
*   subject: CN='其他域名'
*   start date: Dec 06 09:58:24 2023 GMT
*   expire date: Mar 05 09:58:23 2024 GMT
*   common name: '其他域名'
*   issuer: CN=R3,O=Let's Encrypt,C=US
* NSS error -12276 (SSL_ERROR_BAD_CERT_DOMAIN)
* Unable to communicate securely with peer: requested domain name does not match the server's certificate.
* Closing connection 0
curl: (51) Unable to communicate securely with peer: requested domain name does not match the server's certificate.

当我打开站点的维护模式,页面依旧是无法打开,问题就在请求证书这一块,

版本号

3.16.1

复现方法

画布2

期望的结果

证书问题如何测试,雷池UI选择都正常,请大佬指点一二

QYG2297248353 commented 8 months ago

仔细看了以下,雷池添加的站点以及选择的证书都没问题,监听的都是 80 / 443 端口也没问题。 测试访问 curl -v -H "Host: '域名'" https://127.0.0.1:443 访问添加的域名 只有一个能访问,就是第一个添加到SSL证书,返回日志服务器证书都是同一个 是哪里配置有问题吗,nginx 监听的也是80 / 443 我只是在前面加了一层 雷池服务,按理说没啥问题,

yrluke commented 8 months ago

我猜是因为:你请求时所所用的域名,并没有配置到防护站点,导致nginx没有办法返回正确的证书