阿里云ECS云服务器启用了HTTPS，但WAF引流后提示证书错误，该怎么办？

阿里云ECS云服务器启用了HTTPS，但WAF引流后提示证书错误，该怎么办？

这是典型的“证书在源站正常，但经过WAF就不行”的情况。问题根源几乎都在WAF的证书配置上，请按以下顺序排查：

1. 确认WAF已开启HTTPS并上传证书：在WAF控制台为域名勾选HTTPS，并上传与ECS上完全相同的证书和私钥。即使ECS已有证书，WAF也需单独配置。
2. 检查证书链是否完整：将服务商提供的所有证书（服务器证书、中间证书等）按顺序拼接后一起上传。证书链不完整是导致部分设备（尤其是安卓和微信）报错的常见原因。
3. 核对域名与有效期：确保证书的域名与您访问的域名完全匹配，且证书处于有效期内。
4. 检查回源协议：如果源站强制HTTP跳转HTTPS，需在WAF上同时开启HTTP和HTTPS监听，否则可能导致跳转异常。

完成调整后，建议先用hosts绑定WAF的IP进行访问测试，确认无误后再修改DNS解析。

—

阿里云ECS云服务器和WAF都配了HTTPS，为什么浏览器还是提示不安全？

这种情况大概率是证书链不完整或域名不匹配。您可以先在浏览器中点击“证书错误”查看详情，如果提示“无法验证证书颁发机构”或“证书链不受信任”，基本就是证书链问题。

解决方法：

1. 登录阿里云SSL证书服务，重新下载“证书链文件”（通常包含中间证书）。
2. 在WAF的HTTPS配置中，将服务器证书和证书链文件的内容合并粘贴后上传。
3. 使用在线SSL检测工具（如SSL Labs）验证证书链是否已补全。

如果证书链无误，再检查证书的域名是否完全覆盖您访问的域名（包括子域名和泛域名）。

—

阿里云ECS云服务器上直接访问HTTPS正常，一接WAF就报错，怎么快速定位？

这是最典型的WAF配置问题。请按以下步骤快速排查：

1. 对比证书：分别访问源站IP和WAF的CNAME地址，查看浏览器提示的证书信息是否一致。如果不一致，说明WAF证书配置有误。
2. 本地Hosts测试：修改本地hosts文件，将域名直接指向WAF的回源IP进行测试。如果此时证书报错，即可确定是WAF配置问题。
3. 检查协议监听：确认WAF已开启与源站匹配的HTTPS监听端口，并且源站服务器的TLS版本和加密套件与WAF兼容。

如果您的业务对HTTPS要求高，建议直接使用阿里云官方推荐的证书方案，可以省去很多兼容性问题。

—

不想折腾证书，有没有更省心的阿里云ECS云服务器+WAF HTTPS方案？

当然有。如果您不想手动管理证书，可以采用以下方案：

1. 直接在阿里云SSL证书服务中申请或购买证书，并一键部署到WAF。
2. 在WAF控制台开启HTTPS，并选择“阿里云托管证书”或类似选项，让系统自动关联证书。
3. 确保域名解析指向WAF的CNAME地址，并开启源站保护，防止流量绕过WAF。

这样，证书的申请、续期和部署都将由阿里云自动完成，您只需关注业务即可。如果您需要，可以点击这里查看阿里云当前的优惠方案，选择适合您业务的配置，省心又省力。立即查看阿里云优惠方案