HTTPS/HTTP監聽常見問題

標籤：沒有   port   解決方案   伺服器   http協議版本   encrypt   live   wss   ica   

Nobody gets to live life backwards. Look ahead, that’s where your future lies.

                                                                                                                      location：Newport，NJ，U.S

                                 

第一次在學習IntelliJ IDEA過程中，進行web.xml檔案的配置時候，對於Http監聽情況不是很熟悉，所以找來參考文檔以瞭解原理，以備今後複習來用。

 

1. 為什麼請求經過七層負載平衡轉寄後，後端伺服器的回應標頭中的某些參數會被刪除？

為了實現會話保持，負載平衡會修改後端伺服器回應標頭中的Date、Server、X-Pad和X-Accel-Redirect等參數值。

解決方案：

• 在自訂的報文頭部中加入一個首碼，如xl-server或xl-date，以避開負載平衡的處理。

• 將七層HTTP監聽改為四層TCP監聽。

2. 為什麼在HTTP請求的頭部增加了Transfer-Encoding: chunked欄位？

將網域名稱解析到七層負載平衡的服務地址後，從本地主機訪問網域名稱時發現在HTTP請求的頭部增加了一個Transfer-Encoding: chunked欄位，但是從本地主機直接存取後端伺服器時是沒有這個欄位的。

由於七層負載平衡基於Tengine反向 Proxy實現。Transfer-Encoding欄位表示Web伺服器如何對響應訊息體編碼，比如Transfer-Encoding: chunked表示Web伺服器對響應訊息體做了分塊傳輸。

說明：在四層負載平衡服務中，負載平衡僅轉寄流量，不存在該欄位。

3. 為什麼HTTP監聽訪問正常但HTTPS監聽開啟網址不載入樣式？

現象：

分別建立HTTP和HTTPS監聽，兩個監聽使用同樣的後端伺服器。以HTTP方式訪問監聽連接埠對應的網站時，網站正常顯示，但使用HTTPS監聽訪問時，網站排版顯示錯亂。

原因：

負載平衡預設是不會屏蔽JS檔案載入傳輸的，可能原因：

• 認證和瀏覽器安全層級不相容導致。

• 認證是非正規第三方認證需要聯絡認證發行者檢查認證問題。

解決方案：

1. 開啟網站時，按照瀏覽器提示載入指令碼。

2. 在用戶端中添加對應認證。

4. HTTPS監聽使用什麼連接埠？

HTTPS監聽對連接埠無特殊要求，建議您使用443連接埠。

5. 負載平衡支援哪些類型的認證？

支援上傳PEM格式的伺服器憑證和CA認證。

伺服器憑證需要上傳認證內容和私密金鑰；CA認證只需要上傳認證內容。

6. 負載平衡是否支援keytool建立的認證？

支援。

但在上傳認證前，您需要將認證轉換為PEM格式，詳情參見轉換認證格式。(以後再做備忘說明)

7. 可以使用PKCS#12（PFX）格式的認證嗎？可以。

但在上傳認證前，您需要將認證轉換為PEM格式，詳情參見轉換認證格式。(以後再做備忘說明)

8. 一個帳號可以上傳多少個認證？

每個帳號最多可上傳100個認證，包含CA認證和伺服器憑證。

9. 添加認證時，為什麼會出現KeyEncryption的錯誤？

該錯誤由於私密金鑰內容有誤導致。關於私密金鑰格式說明，參見認證要求。(以後再做備忘說明)

10. 一個HTTPS監聽可綁定多少認證？

若使用HTTPS單向認證，則一個監聽只能綁定一個伺服器憑證；若使用HTTPS雙向認證，則一個監聽需要綁定一個伺服器憑證和一個CA認證。

11. 負載平衡HTTPS支援哪些SSL協議版本？

TLSv1、TLSv1.1以及TLSv1.2。

12. 為什麼HTTPS協議實際產生的流量會比賬單流量多一些？

HTTPS協議會使用一些流量用於協議握手，因此其實際產生的流量會多於帳單流量。

13. HTTPS session ticket的保持時間是多久？

HTTPS session ticket保持時間為300秒。

14. 可以上傳包含DH PARAMETERS欄位的認證嗎？

HTTPS監聽使用的ECDHE演算法簇支援前向保密技術，不支援將DHE演算法簇所需要的安全增強參數檔案上傳，即不支援將PEM認證檔案中含BEGIN DH PARAMETERS欄位的認證上傳。

15. HTTPS監聽是否支援SNI？

SNI（Server Name Indication）是為瞭解決一個伺服器使用多個網域名稱和認證的SSL/TLS擴充，目前負載平衡HTTPS監聽不支援SNI功能。

如果您有相關需求，可以改用TCP監聽並在後端伺服器上實現SNI功能。

16. HTTP/HTTPS監聽訪問後端伺服器的HTTP協議版本是什嗎？

HTTP/1.0。

17. 後端伺服器能否擷取用戶端訪問HTTP/HTTPS監聽的協議版本？

可以。

18. 一個請求通過負載平衡到達後端伺服器，如果用戶端在未收到後端伺服器的回複前主動斷開和負載平衡的串連，負載平衡會同時斷開和後端伺服器的串連嗎？

負載平衡在讀寫過程中不會斷開與後端伺服器的串連。

19. HTTP/HTTPS監聽是否支援WebSocket/SSL WebSocket?

全部地區都已支援WSS/WS協議，詳情參見WS/WSS協議支援常見問題。

20. HTTP/HTTPS串連的逾時時間是如何規定的？

• HTTP長串連的請求數量限定是最多連續發送100個請求，超過限定將關閉這條串連。

• HTTP長串連兩個HTTP/HTTPS請求之間的逾時時間為15秒（存在誤差1-2秒），超過後會關閉TCP串連，如果使用者有長串連使用需求請盡量保持在13秒之內發送一個心跳請求。

• 負載平衡與後端一台ECS執行個體TCP三向交握完成過程的逾時時間為5秒，逾時後選擇下一台ECS執行個體；查詢訪問日誌的upstream回應時間可以定位。

• 負載平衡等待一台ECS執行個體回複請求的回應時間是60秒，超過後一般會返回504響應碼或408響應碼給用戶端；查詢訪問日誌的upstream回應時間可以定位。

• HTTPS session重用逾時間為300秒，超過後同一用戶端需要重新進行完整的SSL握手過程。

21. 負載平衡是否支援佈建網域名和URL轉寄策略？

支援，詳情參見佈建網域名URL轉寄策略。

22. 每個監聽可以添加多少條網域名稱和URL轉寄規則？

每個監聽最多可添加20條轉寄規則。

HTTPS/HTTP監聽常見問題