本帖最后由 雷安陈九创 于 2020-2-11 20:55 编辑
客户需求:门户网站从http访问形式改成https访问形式以满足安全需求
知识点:ssl卸载 重点:ssl权威三方证书申请 相关其他具体配置你可以从社区和机器人获得,唯独ssl证书的申请没有,我来补全他。 他是一个域名提供商,类似的还有腾讯云。 这个项目我有一个幸运,一个不幸,幸运的是阿里云不光能提供域名服务,而且还提供ssl公网证书的申请,有免费的,重点强调3次!!!必须用同一个账号申请域名和证书,跨账号不行。阿里云提供免费的赛门铁克 symantec证书,试用有效期好像一年,全网认可,这个ssl证书的目的就是为了全网用户访问客户门户的时候不弹出告警,提高逼格。不幸的是客户这边还有360云盾服务,不了解的自行百度云盾是啥,我理解他就是一个公网的代理,而且是强制代理,在阿里云上配置cname指向360云盾平台,进行安全过滤,然后回源ip再到客户出口,这个回源ip还会造成一些问题,以后再说吧。 所以我们的ad不能直接进行ssl卸载,必须经过360云盾,他们叫安域,如果我们单方面进行https改造,用户就会显示无法访问网页,因为360云盾不认https的包,怎么办呢,必须把360云盾的ssl改造也一起完成,然后通过我们ad进行ssl卸载,ad与客户服务器通过http来通讯,好好品品吧。简单画一下就是:用户--https--360云盾--https--ad--http--门户服务器,大概就是这样。 说点题外话,行业规矩是别人家设备不能碰,但如果这个项目我跟客户说360云盾我管不了,需要客户自己协调,项目基本就黄了,折中的办法是,说服客户配合你,由你来主动协调,其实重点就几个,360云盾ip账号密码,360技术配合,如果配合不理想,协调360相关400电话,大厂家的服务还是可以的。 所以在我和客户共同努力下把360云盾的ssl配置也完成了,其实很简单,但隔行如隔山。 ad首推模式是单臂,因为测试环境对网络影响几乎很小,还有几个点跟大家强调一下。 ad单臂模式势必涉及到客户出口路由做目的nat映射到ad,最好端口一一对应,例如443对应443,逻辑简单清晰,当然如果非不整对应的也可以,你想明白就行。 ad新版本dns路由有系统默认的,能不能改我还没研究,如果客户用户是从联通线路进来的,你dns从电信走,会产生不可预知的问题,比如某些业务苹果手机好使,安卓手机不行,尤其涉及到域名解析的,跟微信对接的。
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2020-2-12 23:10
