通常在項目里，如果要用到ssl的話，一般都是自己先做個免費的證書在開發的過程中用的。等到上線了才去花錢買ssl證書。

 

　　這一回，自制了證書，在apache里也配置好后，始終無法通過https訪問。調查步驟如下

 

　　1、確認apache配置。

 

　　httpd.conf里，查看mod_ssl.so和httpd-ssl.conf配置。如果沒有mod_ssl.so的話，通過apachectrl-l查看apache是否有內置變異了ssl模塊。

 

　　httpd-ssl.conf里，查看Listen443、server.crt、server.key的配置。

 

　　2、apache重啟的時候，在error-log里查看有沒有錯誤日志。

 

　　到這一步，可以確定配置應該沒什么問題。

 

　　3、在服務器里，通過命令netstat-ano確定443端口被監聽。

 

　　4、本地通過命令telnetwww.xxxx.com80和telnetwww.xxxx.com443，發覺80端口能訪問，443端口訪問不了。

 

　　5、在服務器里通過命令wgethttp://www.xxx.com/和wgethttps://www.xxxx.com/，同樣發覺80端口能連接的上，443端口連接不上。

 

　　Resolvingstaging.shop.connectingcard.com...xxx.xxx.xxx.xx

 

　　Connectingtowww.xxxx.com|xxx.xxx.xxx.xx|:80...connected.

 

　　...

 

　　Resolvingwww.xxxx.com...xxx.xxx.xxx.xx

 

　　Connectingtowww.xxxx.com|xxx.xxx.xxx.xx|:443...

 

　　到這一步，可以確定應該是443端口訪問不了的原因。

 

　　6、查看服務器的iptables，確定443沒有禁止訪問。

 

　　7、在服務器，使用wget命令，通過本地IP訪問

 

　　wgethttps://xxx.xxx.xxx.xx/，得到如下結果

 

　　--2012-02-2911:21:05--https://xxx.xxx.xxx.xx/

 

　　Connectingtoxxx.xxx.xxx.xx:443...connected.

 

　　ERROR:cannotverifyxxx.xxx.xxx.xx'scertificate,issuedby`/C=JP/ST=oosaka/L=oosaka/O=oosaka/OU=oosaka/CN=www.xxxx.com':

 

　　Self-signedcertificateencountered.

 

　　ERROR:certificatecommonname`www.xxxx.com'doesn'tmatchrequestedhostname`xxx.xxx.xxx.xx'.

 

　　Toconnecttoxxx.xxx.xxx.xxinsecurely,use`--no-check-certificate'.

 

　　UnabletoestablishSSLconnection.

 

　　在使用命令wget--no-check-certificatehttps://xxx.xxx.xxx.xx/訪問，得到頁面內容。

 

　　到這一步可以確定，服務器本身的443端口是開放的，只是從外部無法通過443端口訪問服務器。

 

　　那么，問題可能是，服務器的網絡環境中，防火墻的配置里沒有對外開放服務器這臺機子的443端口。

 

　　解決問題的話需要需要服務器網絡管理人員配合。