记一起通过阿里云CDN访问502,直接访问源站正常的故障


今天遇到一位用户反馈通过阿里云CDN访问502,直接访问源站正常,在QQ群协助排查半天依然没解决,

后来用户怀疑是更新面板版本导致,这个锅不能接,遂找用户要服务器资料细细检查才发现问题根源

经过1:排查阿里云CDN回源配置无异常

经过2:排查网站配置文件与伪静态(使用的是apache),未发现明显异常

经过3:排查Apache错误日志,发现大量证书握手错误 (routines:ssl3_read_bytes:no renegotiation)

经过4:排查SSL证书,未发现明显异常(怀疑人生中)

经过5:尝试换个SSL证书,恢复正常

经过6:再次换回原来的SSL证书,故障恢复,检查证书内容发现是证书链缺失,合并根证书后再部署,恢复正常

结论: 因用户部署证书明未提供pem格式的证书而是直接部署的域名证书,导致严格验证SSL的阿里云CDN无法完成HTTPS握手


转自   https://www.bt.cn/bbs/forum.php?mod=viewthread&tid=63469&extra=page%3D4%26filter%3Dtypeid%26typeid%3D10