公司运维被优化了，小开发被迫营业需要兼顾下线上运维的活
目前遇到 ssl 证书即将过期问题
请求的路径如下
传统型 clb （负载均衡）-> 两台 nginx （ ecs 服务器）
我看了下还有接入 waf （ web 应用防火墙 ）
一开始在腾讯云上申请了免费 ssl 证书，然后直接替换到 nginx 两台机器上，但是证书格式貌似还不太一样
原来的证书文件有 xx.cer 和 xx.key , 但是申请下来的证书是 xx.crt 和 xx.key
替换后发现证书有效期依旧没变化
后来我就直接在阿里云上申请免费证书，上传证书，在 waf 内部替换掉后，查看证书有效期就是最新的了
疑问点
1 、是不是只要在 waf 内部替换掉 ssl 证书就可以了呢？
2 、那 nginx 服务器上的证书没替换是否有影响呢？

我理解 waf 是个中间人，替换 waf 的证书用户就可以看到。waf 是否检验 nginx 的证书应该是有相关设置的。

1 、如果 waf 后端挂的是 http ，那只要在 waf 上替换即可， 否则要连着 nignx 服务器上的一并替换。
2 、如果 waf 后端是 https 的，那么不替换 nginx 上的证书会导致 waf 连 nginx 的时候证书过期。 导致 waf 无法正常工作。

cer crt 直接改后缀名就行，你得确认所有的流量都走的 waf ，这样只需要替换 waf 就行。建议你都换了算了，也没啥工作量

直接替换 waf 的证书即可

1 ，是的，你自己也验证了。
2 ，waf 一般基于 nginx 二开，proxy_ssl_verify 默认是 off 的，因此：
2.1 ，后端 https 服务器的证书可以和域名不匹配；
2.2 ，后端 https 服务器的证书可以无效（不在跟证书中，就是自签名证书也可以）；
2.3 ，后端 https 服务器的证书可以过期；

因此如果真的忘记遗漏了，也没影响，但是为了鲁棒性，建议也更新下。

＃5 后端是指 waf 反向代理的 upstream 的 https nginx 服务器

我看目前配置 waf 是配置了 https 的拦截，所以我就只替换了 waf 的证书

waf 如果可以配置忽略后端 ssl 校验的话就可以不改，如果 waf 后端内网是可信的话也可以把后端业务切换成 http 业务

nginx 不用挂证书，明文就好。

能不能配置忽略 后端 ssl 校验 这个不清楚哪里可以看的到

我用 httpsok
httpsok.com/p/4GId
支持：nginx 、通配符证书、七牛云、腾讯云、阿里云、CDN 、OSS 、LB （负载均衡）

除了上面的，可以提个工单咨询一下客服

说你搞不懂，让公司招运维，增加就业岗位

网络内部的 WAF 的正确使用方法就是 HTTPS 卸载，去源服务器用明文。你只需要替换 WAF 的证书。
云 WAF 的情况下你就需要考虑 WAF 到源服务器的证书了。

有一说一。。你问我们。。不如去提 support 。。

等明天看结果了，证书是明天到期，要是不行就发起工单了

老板要说 这你都搞不定？还要单独招人？ 网上找找教程看下不就可以了 老板 pua 起来你都没办法回怼

waf 和 clb 都有处理证书的能力，确认一下具体是哪里处理证书的之后修改就行
过了 waf 的 clb 可以改成 tcp 类型的，缩一下规格省点钱

1 ，得去 WAF 和 nginx 上查看证书的配置，如果 WAF 上已经挂载 SSL 证书，那就要更新 WAF 的。

WAF 挂载证书生效，公网请求经过 WAF 就直接处理证书了，不需要后端 nginx 或者应用上的证书了。
这一种方式要注意内网互相调用可能也用了 https 、证书挂在 nginx 的情况，因此建议先更新 slb + nginx 上的证书，然后通过绑 Host 测试下内网调用证书是否生效，若生效，再更新 WAF 上的。

,2 ，如果 WAF 上没有挂载证书，那后端 slb + nginx 上配置了证书的都要更新。

waf 回源直接 http 就好了 没必要 https

替换了肯定能立即生效，没生效说明替换不成功

一般内部不用 https ，直接 http 传输。所以内部 nginx 不需要证书

另外都接入了负载均衡为啥还要 nginx 如果是当反向代理服务器就真没必要。 直接通过 slb 转发流量到目标服务器就好了。

你不想象你以后也是会这样被优化
跟老板说现在啥语言都有网络教程免费学习，干脆您自己一个人公司全搞定，赚的都给您

＃17 不要干多余自己的活。你也怕被优化把？自己卷自己也是早早晚晚的事。