Tham gia Đăng nhập
Điểm:3
avatar Server

Làm cách nào để di chuyển sang chứng chỉ do Google quản lý mà không có thời gian chết?

lá cờ in
André Laszlo

Tôi đang di chuyển example.com từ nhà cung cấp dịch vụ lưu trữ bên ngoài (không phải Google) sang GCP.

Khi thiết lập bộ cân bằng tải, tôi nhận thấy rằng tôi phải trỏ example.com đến bộ cân bằng tải để chứng chỉ do Google quản lý xác thực.

Tôi phải thay đổi bản ghi A của example.com thành IP (tĩnh) của bộ cân bằng tải mới - sau đó nó sẽ xác thực.

Vấn đề là tôi đã có rất nhiều lưu lượng truy cập vào example.com, các yêu cầu xảy ra sau khi example.com bắt đầu trỏ đến bộ cân bằng tải nhưng trước khi chứng chỉ được xác thực sẽ tạo ra lỗi SSL và khiến người dùng rất không hài lòng.

Có ai giải quyết điều này? Tôi biết có nhiều cách để tránh thời gian chết khi quay giấy chứng nhận, nhưng phải có cách nào đó để di chuyển các trang web lớn mà không có thời gian chết?

487
0 + 0
Điểm:2
John Hanley avatar Server
lá cờ cn
John Hanley

Bạn sẽ có thời gian chết.

Bạn có thể làm theo các mẹo sau để giảm thiểu thời gian chết. Với việc lập kế hoạch phù hợp, thời gian ngừng hoạt động sẽ rất ngắn và trong một số trường hợp, việc thử lại tự động sẽ khiến điều này trở nên vô hình đối với khách hàng.

Tuy nhiên, tôi không biết thiết kế trang web của bạn, cách sử dụng cookie, xác thực, quản lý phiên, v.v. Có thể có những gián đoạn không thể tránh khỏi. Nếu có thể, hãy xem xét gửi email cho khách hàng của bạn để thông báo trước cho họ về việc bảo trì trang web.

Đây là thời điểm tốt để xem lại nhật ký của bạn. Tìm kiếm các vấn đề tiềm ẩn với quyền truy cập vào địa chỉ IP. Những loại sự cố đó sẽ bắt đầu lỗi sau khi quá trình di chuyển hoàn tất và bạn tắt hệ thống cũ.

  1. Hãy nhớ rằng các bản ghi tài nguyên DNS được lưu trữ trên toàn cầu. Bản ghi tài nguyên TTL cung cấp gợi ý về khoảng thời gian. Trình phân giải DNS được tự do sử dụng cách giải thích TTL của riêng họ.

  2. Viết ra TTL của các bản ghi tài nguyên mà bạn sẽ thay đổi. Bây giờ hãy thay đổi TTL thành một giá trị ngắn chẳng hạn như 1 phút.

  3. Trước khi thực hiện các thay đổi cuối cùng, hãy đợi ít nhất TTL cũ hết hạn.

  4. Thiết lập các dịch vụ của bạn và bộ cân bằng tải trước khi thực hiện bất kỳ thay đổi DNS nào. Đảm bảo các dịch vụ hoạt động chính xác chỉ bằng địa chỉ IP. Nếu bạn đang chuyển hướng IP sang tên miền hoặc HTTP sang HTTPS, hãy tạm thời tắt các tính năng đó và bật chúng sau.

  5. Sử dụng certbot ở chế độ thủ công và tạo chứng chỉ mà bạn có thể tải vào bộ cân bằng tải. Điều này loại bỏ bước cân bằng tải tạo chứng chỉ SSL và chờ xác minh. Sau đó, bạn có thể chuyển sang SSL được quản lý của Google.

  6. Định cấu hình cả giao diện người dùng HTTP và HTTPS của Google Cloud Load Balancer. Định cấu hình chứng chỉ SSL Let's Encrypt ở giao diện người dùng.

  7. Lên kế hoạch để trang web cũ hoạt động trong khoảng 30 ngày sau khi di chuyển. Tôi thường thấy lưu lượng truy cập trong vài tuần tại trang web cũ sau khi di chuyển.

  8. Chọn thời gian trong ngày hoặc ngày trong tuần có ít lưu lượng truy cập nhất. Sau đó chuyển bản ghi tài nguyên DNS. Hãy nhớ rằng giá trị TTL cũ phải hết hạn để TTL mới được sử dụng cho bộ nhớ đệm.

  9. Vài ngày sau, khi bạn đã xác minh mọi thứ đang hoạt động, hãy đặt các giá trị TTL thành giá trị bình thường như 604800 đó là số giây trong một tuần hoặc 86400 (một ngày). Kích hoạt lại chuyển hướng trang web (IP -> tên miền, HTTP -> HTTPS), nếu được sử dụng.

0 + 0
lá cờ in
André Laszlo
Cảm ơn John. Tôi vừa phát hiện ra rằng bạn có thể sử dụng certbot với CSR, hy vọng điều đó sẽ hiệu quả. Sau đó chuyển sang chứng chỉ do Google quản lý (rõ ràng bạn có thể chỉ định hai trong số chúng cùng một lúc). Sẽ dùng thử và chấp nhận sau.
0
Hồi đáp
John Hanley avatar
lá cờ cn
John Hanley
@AndréLaszlo - Sử dụng CSR sẽ không giúp giảm thời gian ngừng hoạt động. Tất cả các chứng chỉ SSL được cấp bởi/từ một CSR được ký bởi một chứng chỉ khác. Trừ khi bạn có nghĩa là thời gian để điền vào các chi tiết. Giá trị quan trọng duy nhất mà Let's Encrypt sử dụng từ CSR là tên. Hầu hết các tham số khác đều bị bỏ qua.
0
Hồi đáp
Điểm:1
Cristopher avatar Server
lá cờ cn
Cristopher

Ngoài các đề xuất trước, hãy nhớ rằng chứng chỉ SSL do Google quản lý không được hỗ trợ cho bộ cân bằng tải HTTP(S) bên ngoài khu vực và bộ cân bằng tải HTTP(S) nội bộ. Đối với các bộ cân bằng tải này, bạn sẽ cần sử dụng chứng chỉ SSL tự quản lý. Tôi chưa biết bạn đang sử dụng loại cân bằng tải nào, tuy nhiên, trước khi cố gắng thiết lập quá trình di chuyển này, bạn cần xem xét nó. Ngoài ra, trong cùng này hướng dẫn bạn có thể xem cách tạo và sử dụng chứng chỉ SSL do Google quản lý và những điều cần cân nhắc để làm cho nó hoạt động chính xác1.

Tôi khuyên bạn nên đặt thời hạn bảo trì cho những thay đổi này vì có thể mất tới 30 phút cho đến khi chứng chỉ có sẵn cho tất cả Giao diện người dùng của Google (GFE).

Ngoài ra, trong đây bạn sẽ thấy hướng dẫn chính thức với từng bước để đạt được hành vi này.

1 https://cloud.google.com/load-balancing/docs/ssl-certificates/google-managed-certs

2 https://cloud.google.com/load-balancing/docs/ssl-certificates/google-managed-certs#migrating-ssl

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.