我无法在 GAE 中使用 CF 原始 ssl 证书,因为 GAE 不接受它。
我必须从其他 CA 购买 SSL 证书并将其应用于我的服务。旧的 SSL 证书将在一周内到期。我如何验证我已成功应用新的 SSL?在浏览器中,我只能看到 Cloudflare 颁发的 SSL 证书,因为我的服务是通过 Cloudflare CDN 提供的。
答案1
可以使用以下命令检查 SSL 证书:
curl -vIs4 https://<hostname>/ --resolve <hostname>:443:<origin_ip>
假设域名为mycompany.com。由于它托管在 GAE 上,因此 origin_ip 将是ghs.googlehosted.com
最终命令是:
curl -vIs4 https://mycompany.com/ --resolve mycompany.com:443:172.217.25.179
部分输出:
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Client hello (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-CHACHA20-POLY1305
* ALPN, server accepted to use h2
* Server certificate:
* subject: OU=Domain Control Validated; OU=Gandi Standard Wildcard SSL; CN=*.mycompany.com
* start date: Apr 11 00:00:00 2019 GMT
* expire date: Apr 11 23:59:59 2020 GMT
* subjectAltName: host "www.mycompany.com" matched cert's "*.mycompany.com"
* issuer: C=FR; ST=Paris; L=Paris; O=Gandi; CN=Gandi Standard SSL CA 2
* SSL certificate verify ok.
答案2
如您所见,客户端未连接到您的服务器。它们连接到提供证书的 cloudflare,然后 cloudflare 连接到您的服务器以请求资源并验证您提供的证书。
您需要将自定义证书上传到 cloudflare,这至少需要 200 美元/月的商业计划。可以crypto在名为的部分的选项卡下找到设置Edge certificates
或者删除 cloudflare。