35+ stories, thoughts and ideas.新增一台服务器,Cloudflare 添加DNS记录之后,通过http访问正常,https无法正常访问,报 ERR_SSL_VERSION_OR_CIPHER_MISMATCH 错误。
首先要确认目标服务器443端口服务正常。
登录Cloudflare控制面板,检查SSL/TLS > Edge Certificates 下面证书的状态,发现为Error状态,原因不明。
Disable Universal SSL之后再enable,重新生成edge certificates状态依然不正常,检查Audit Log发现下面信息
{
"Brand id": null,
"Bundle method": "ubiquitous",
"Dedicated ips": false,
"Id": "a0287f6a-",
"Modified on": "2020-12-17T",
"Priority": 0,
"Sans": {
"0": "example.com",
"1": "sni.cloudflaressl.com"
},
"Status": "pending_issuance",
"Type": "universal",
"Validation errors": {
"0": {
"Message": "caa_error: example.com" <<<<<<-----
}
其中的 caa_error 是重点,网上搜索到解决方案,需要在DNS添加以下CAA条目:
CAA 0 issue "digicert.com"
CAA 0 issuewild "digicert.com"完成后再disable/enable universal ssl一次,等待数分钟,edge certificates列表中的子域名状态为active即可。