李振宇_个人页

codecheng说的是对的，服务端尽量不要主动关闭连接，谁主动关闭连接谁就会进入timewait阶段。有几个思路：服务端的keepalive时间设置的更长一点，解决客户端浏览器默认情况下很久才会close连接问题，当然这样的后果是established状态的数量会更多，不过nginx去扛keepalive连接一般情况下都问题不大的。客户端是否忘记了close socket？这种情况的话一定要修复掉

系统的文件句柄可能有限制，调整一下，参考：http://blog.csdn.net/azhao_dn/article/details/7175688的方法

当你遇到一些服务器故障的时候会用得到tcp/ip：例如连接过多，丢包，路有不通等等比较底层的问题的时候

你的问题确实是因为该站点没有配置到正确的证书，用的是你自己的证书。你可以在自己的测试环境删掉自己的原来的那张自己签名的证书，然后看看新证书是否生效，我是使用这个命令可以查看到你的证书配置错误：openssl s_client -connect www.parkingto.com:443CONNECTED(00000003)depth=0 /CN=AY140302205818Zverify error:num=20:unable to get local issuer certificateverify return:1depth=0 /CN=AY140302205818Zverify error:num=21:unable to verify the first certificateverify return:1Certificate chain 0 s:/CN=AY140302205818Zi:/CN=AY140302205818ZServer certificate-----BEGIN CERTIFICATE-----MIIC4jCCAcqgAwIBAgIQX/Wi63qdPKFNHYihNJ8heTANBgkqhkiG9w0BAQUFADAaMRgwFgYDVQQDEw9BWTE0MDMwMjIwNTgxOFowHhcNMTYwNDA3MDYwOTE4WhcNMTcwNDA3MDAwMDAwWjAaMRgwFgYDVQQDEw9BWTE0MDMwMjIwNTgxOFowggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCU3yutExmjjySdCrPhnNTZAtPIT72H683+uddd8Hi2W9Ztu75xD6Eo0nfXBDkexGCt9ZPrJ3CGoUvZ+B9jFZLNzbpotdpTnikS3Axz+Qc+6mZWynBrVPp+5DNVyOhANMl89XEucHZpqvHJgzW9MUhb+dcOpE/xqE7M181hWDmhpWeSKfMcsL7oXjhJ2BRg7Y4v8daFSysHSzI7Au8mBDrgo2CIl1i3nEETtL+cl67b1c8oFtWQhiWy5bZIW48aNpbz1HNed5ShhaezYfRnIfesg8XSScGAxGfoTVyjGLRaAXbdm+wKyXvDUh/xDh2Z8f+YSqPwUWN2OIsR2lmtpFTBAgMBAAGjJDAiMAsGA1UdDwQEAwIEMDATBgNVHSUEDDAKBggrBgEFBQcDATANBgkqhkiG9w0BAQUFAAOCAQEAOTWweKPG9u1Uyb/WZFNDeztlNHAy7JbUtDtYvnaTThcBRrPg6BWBzubJPlIYV19g1wiEnyGs8jRalSWvgLfoyEDyo5I4m7U9S0v48y4H4dwJY2esxrfFidXY7GIJvdcBbzAdONL4H97G/L8ikpqgMS/c4E+uZvSLCNvjLUFGtTXiFQhvrJ4VRI/Ygclz+Rb72EiPJlF86ddZV3bmIqffLtKq7g/i/ZdbqfiHopeVbh6TEpW46+f6DeEfbwcgIUsqqkd82ljIW8wbyouL+vPz49bM4Yp/QdiWCoMlUYAs1W8TVCqlC92rE5brlwruP5CZeZaUciunuToEUWV0hDZvaA==-----END CERTIFICATE-----subject=/CN=AY140302205818Zissuer=/CN=AY140302205818ZNo client certificate CA names sentSSL handshake has read 901 bytes and written 456 byte另外如果对IIS配置证书不熟悉，可以参考《https权威指南》里面的《配置 Microsoft Windows 和 IIS》章节，里面有详细的介绍，包括如何配置证书，如何选择算法：

可以参考这个配置，我怀疑你配置的一些算法不支持TLS1.2。另外最好把完整的配置拿出来以及nginx的error_log里面的报错信息ssl_protocols TLSv1.2;ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';ssl_prefer_server_ciphers on;来源：https://mozilla.github.io/server-side-tls/ssl-config-generator/

可以看看errorlog里面的提示，看看有什么错误。

我建议你完全拷贝80端口的配置，并且把新配置里面80端口改成443，然后再去配置https，403错误不是ssl的配置问题，出现这个错误说明已经ssl建立连接成功了

原因是在PC端，当缺少中间证书链的时候，浏览器（操作系统）会自动去下载，而手机端特别是Android的手机是不会做这件事情的，因此在配置证书的时候，还需要带上证书链的信息。 拿到阿里云给你的证书之后，这里面会有服务器证书（假设名字叫做server.crt)和中间证书(假设名字叫做intermediate.crt)，在linux下面可以执行命令：cat server.crt intermediate.crt > fullcertificate.crt然后用这个fullcertificate.crt替换你原来配置里面server.crt，应该就没有问题了。 关于证书链的原理可以参考：http://lukejin.iteye.com/blog/587200

参考：《https权威指南》中的《 配置 Java 和 Tomcat》

是否设置了代理服务器？关闭VPN等代理试试

这个问题是阿里云海外的配置问题，国内是没有问题的已经把问题发给相关同学改进。

哥们，你这个问题没人能回答啊。。。你的配置是什么，你的网站是什么，你服务器的错误日志是什么。。。。

首先找到谁在使用这个端口，可以用root账户netstat -anpt | grep 443然后看到最右边应该有一个进程名字和进程号，然后ps aux | grep 进程号就能看到是谁在占用443端口的，之后就简单了，可以粗暴的kill 进程号或者调用这个进程的退出脚本。如果还不退出就kill -9 进程号，一般过一会这个端口就会释放的。

跳转是在服务端设置的，例如如果你用的是nginx，可以这么设置：server {listen 80; server_name www.example.com; return 301 https://$host$request_uri;}将www.example.com替换成你的域名。

我强烈建议你参考这篇文章：https://wiki.mozilla.org/Security/Server_Side_TLS，介绍了配置后面的原理。然后配置声称可以使用这个url：https://mozilla.github.io/server-side-tls/ssl-config-generator/server {listen 80 default_server; listen [::]:80 default_server; # Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response. return 301 https://$host$request_uri;}server {listen 443 ssl http2; listen [::]:443 ssl http2; # certs sent to the client in SERVER HELLO are concatenated in ssl_certificate ssl_certificate /path/to/signed_cert_plus_intermediates; ## ->替换成你的证书链 ssl_certificate_key /path/to/private_key; #-》替换成你的证书私钥 ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; ssl_session_tickets off; # modern configuration. tweak to your needs. ssl_protocols TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256'; ssl_prefer_server_ciphers on; # HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months) add_header Strict-Transport-Security max-age=15768000; # OCSP Stapling --- # fetch OCSP records from URL in ssl_certificate and cache them ssl_stapling on; ssl_stapling_verify on; }

原来你的路径是：CLIENT ->(HTTP2 or SPDY) -> YOUR_WEB_SERVER使用CDN的路径之后是：CLIENT -> (HTTP2) -> Aliyun CDN -> (HTTPS) ->YOUR_WEB_SERVER 用户访问CDN的话，是由CDN的配置决定的。现在aliyun CDN回到用户源站应该是不支持HTTP2的。