为ELB Ingress配置了HTTPS证书后访问异常的原因有哪些?
为ELB Ingress配置了HTTPS证书后,如果证书配置出现以下问题,可能导致访问异常,您可以参考表格中的原因进行排查。
访问异常原因 |
问题现象 |
解决方案 |
---|---|---|
证书已过期 |
通过curl命令测试时报错信息如下: SSL certificate problem: certificate has expired |
请及时替换新证书。 |
客户端使用了不配套的HTTPS证书链验证ELB Ingress侧配置的HTTPS证书 |
通过curl命令测试时报错信息如下: SSL certificate problem: unable to get local issuer certificate |
请确保客户端中的HTTPS证书链与ELB Ingress中配置的证书配套。 |
创建证书时,未指定域名 |
通过curl命令测试时报错信息如下: SSL: unable to obtain common name from peer certificate |
请在创建证书时指定域名。 |
访问的域名和HTTPS证书的域名不一致 |
通过curl命令测试时报错信息如下: SSL: certificate subject name 'example.com' does not match target host name 'test.com' |
请为Ingress配置和域名相符的证书。 |
您可以通过以下命令查看证书的过期时间、域名等信息,其中ca.crt为证书路径。
openssl x509 -in ca.crt -subject -noout -text
更新证书操作
- 使用TLS类型的密钥证书:需要将证书导入至Secret中,CCE会将该证书自动配置到ELB侧(证书名以k8s_plb_default开头),由CCE自动创建的证书在ELB侧不可修改或删除。如果您需要修改证书,请在CCE侧更新对应的Secret。
- 使用ELB服务中的证书:直接使用ELB服务中创建的证书,无需手动配置集群Secret,且可以在ELB侧修改证书。