项目要求,需要让现有网站项目支持https,并同时支持ipv6访问,经过分析,现在nginx版本较老,所以决定升级nignx,并且同步配置https和ipv6。
升级准备
- 服务器网络环境需要支持ipv6,并且分配公网ipv6地址
- ssl证书提前申请好
- 下载nginx
wget http://nginx.org/download/nginx-1.18.0.tar.gz
- 安装openssl
yum install openssl
yum install openssl-devel
- 判断域名解析是否支持ipv6 找一台支持ipv6网络的客户端电脑,仅使用ipv6网络来ping网站域名,如果解析域名返回的ip地址不是ipv6,则说明域名ipv6解析未做。
编译nginx
./configure --user=root --group=root --prefix=/usr/local/nginx --with-http_ssl_module --with-stream --with-mail=dynamic --with-http_gzip_static_module --with-pcre --with-http_mp4_module --with-http_gunzip_module --with-ipv6
make
make install
这里注意,在较高的nginx版本里面,已经自带了ipv6模块,不用增加--with-ipv6,如果是比较老的版本编译,需要增加--with-ipv6,如果编译的时候出现如下警告提示,说明版本已经自带ipv6模块:
修改配置文件
把之前申请的https证书(crt文件和key文件)上传到服务器目录
listen 443 ssl;
listen [::]:443 ssl;
ssl_certificate /usr/local/nginx/conf/conf.d/ssl/www.aaa.gov.cn.crt;
ssl_certificate_key /usr/local/nginx/conf/conf.d/ssl/www.aaa.gov.cn.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
ssl_prefer_server_ciphers on;
listen 443 ssl; 支持ipv4访问https listen [::]:443 ssl; 支持ipv6访问https
防火墙开放443端口
firewall-cmd --zone=public --add-port=443/tcp --permanent
firewall-cmd --reload
重载nginx配置文件
./sbin/nginx -s reload
查看443端口是否在监听状态
lsof -i:443
如图所示,https协议已经在监听状态,并且分别支持ipv4和ipv6!
遇到的坑
一切操作和流程都没有问题,但是发现启动后,网站只支持ipv4访问htpps,ipv6访问提示如下错误:
提示:错误代码:SSL_ERROR_RX_RECORD_TOO_LONG
通过分析得出:
- ipv4下能正常访问https
- ipv6下访问https的流量是到了nginx服务器
- ipv6下测试443端口是通的 经过反复分析以及错误代码提示能判断出ipv6是证书没有被有效识别到,导致ipv6无法使用https,但是ipv4下又能识别到证书,根据这一现象,能判断出是ipv4和ipv6下网络流量的走向不同所致,经过和云服务器提供商沟通,发现原来是在ipv6下互联网访问443端口的流量被映射到了内网服务器的80端口,所以ipv6下测试443端口是通的,但是又无法识别证书的问题。
总结
总体上升级配置是非常简单的,并没有任何难度,但是中途因为网络问题还是出现了意外,所以在分析应用故障的时候,一定要注意外部的网络环境问题。
