个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
24
4
我正在尝试为 Google Cloud 的 App Engine 配置 SSL。您可以在 GCP 中上传您自己的自定义 SSL 证书 + 私钥(参见 screenshot )。
我将 Cloudflare 用于 DNS,并希望在 Cloudflare 中使用“完整(严格)”SSL 策略。这意味着我必须在 GCP 中添加由 Cloudflare 创建的证书和 key (在同一屏幕截图中)。
我已设法将私钥转换为 GCP 可接受的有效 (PEM) 格式。唯一不起作用的是证书部分。
在 GCP 中同时输入证书和 key 时,点击上传后,返回以下错误:
The certificate data is invalid. Please ensure that the private key and public certificate match.
谷歌搜索后,我找到了以下资源 on GCP's documentation ,解释说我需要在证书字段中上传完整的证书链。所以接下来我尝试的是 concat 我来自 cloudflare 的证书以及 root certificate cloudflare 本身,如 GCP 文档中所述。所以我运行了以下命令来创建这个链:
cat domain.crt cloudflare-root-ca.crt > concat.crt
... 并在证书字段中的 GCP 中上传了那个。
这也不起作用,即使私钥和证书链的校验和都匹配为 explained by GCP docs ,通过运行:
openssl x509 -noout -modulus -in concat.crt | openssl md5
openssl rsa -noout -modulus -in myserver.key.pem | openssl md5
...并比较 md5 输出。
所以现在我完全没有Idea了。 GCP 的错误消息仅限于上述一种,另一种是说您的 PK 格式无效。
当通过 cli gcloud 尝试这个过程时,我们得到了同样的错误。尝试以下命令:
gcloud app ssl-certificates create --display-name example.com --certificate ./cloudflare-concat.crt --private-key cloudflare-pk.key
...产生以下错误:
ERROR: (gcloud.app.ssl-certificates.create)
INVALID_ARGUMENT: Invalid certificate.
`CertificateRawData` must contain a PEM encoded x.509 public key certificate, with header and footer included,
and an unencrypted PEM encoded RSA private key, with header and footer included and with size at most 2048 bits.
The requested private key and public certificate must match.
非常感谢任何有关在 GCP 中上传有效证书(来自 Cloudflare)和私钥的帮助。
我找到了这个 (cached) paged描述 Cloudflare 的所有根证书和中间证书。我已经尝试了其中的几个来再次连接我的域证书,但到目前为止还没有成功。也不清楚使用哪一个...
我开始认为这永远行不通。因为我使用的是来自 Cloudflare 的“原始证书”,所以我相信这是来自 Cloudflare 本身的自签名证书,这意味着 App Engine 永远不会将其识别为有效。
我认为是这种情况的原因是因为我尝试使用 cloudflare 的 cfssl 工具自动“创建 bundle-cert”。我从运行中得到的响应
cfssl bundle -cert domain.crt
返回以下结果:
[INFO] bundling certificate for {Country:[] Organization:[CloudFlare, Inc.] OrganizationalUnit:[CloudFlare Origin CA] Locality:[] Province:[] StreetAddress:[] PostalCode:[] SerialNumber: CommonName:CloudFlare Origin Certificate Names:[{Type:2.5.4.10 Value:CloudFlare, Inc.} {Type:2.5.4.11 Value:CloudFlare Origin CA} {Type:2.5.4.3 Value:CloudFlare Origin Certificate}] ExtraNames:[]}
{"code":1220,"message":"x509: certificate signed by unknown authority"}
最佳答案
我最近发现了一篇博文,描述了如何解决这个问题。按照描述的步骤操作后,证书在 Google Cloud 中被接受,并且在 cloudflare 中的“完整(严格)ssl”选项一切正常!
简而言之:如博文中所述,它涉及通过手动向其添加“RSA”来对 key 进行一些调整。
请参阅此链接: https://blog.woohoosvcs.com/2019/11/running-google-app-engine-behind-cloudflare/
编辑:这可能与使用@Andrei 描述的 shell 命令的最终结果相同
关于google-app-engine - 生成 GCP 兼容的 Cloudflare SSL 证书,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/55358946/
24
4
0
我有一个为 Firefox 3.6 编写的附加组件,现在我正在将其升级到 Firefox 4.0,同时尝试使其与 3.6 兼容。有没有人有尝试这样做的经验,或者关于如何在代码变得太意大利面条式的情况下
我已经安装了 Cassandra 2.0.1 并想在我的应用程序中使用 Astyanax Java API。我在维基上看到了 Cassandra 兼容性表,上面写着 Astyanax 使用 Netfl
是否可以使纯粹在 VBScript(无 COM 对象)中实现的自定义容器类与 For Each 语句一起使用?如果是这样,我必须公开哪些方法? 最佳答案 简而言之,没有 为什么?创建一个可枚举的集合类
我这里的代码很少 int b=3; b=b >> 1; System.out.println(b); 它工作得很好,但是当我将变量 b 更改为 byte、short、float、double 时它包含
我们有一个 Java 客户端,它使用 corba 调用多个第三方系统。这些是实现同一组接口(interface)的不同系统。我们获得了使用这些接口(interface)的库(jar 文件)。例如,这些
我知道从技术上讲 HTML5 是一个“实时规范”,但我想知道它是否符合在类名中添加尾随空格的规定。我没有在规范中看到任何对这种情况的引用,但我的一个队友说它是无效的。也许我错过了什么? 修剪这些空间会
我在 Linux x86-64 上用 C 语言编程。我正在使用一个库,它通过原始 clone 创建多个线程系统调用而不是使用 pthread_create .这些线程运行库内部的低级代码。 我想钩住这
我希望用汇编程序编写一个可启动程序,能够发送和接收网络数据包。我不想使用任何库,我想自己创建它(并在这样做的同时学习)。不幸的是,我无法找到有关最低级别的网卡通信(发送原始套接字)的任何信息。我相信有
是否有除 fixed scoping 之外没有任何更改的 CoffeeScript 分支,以便它在很大程度上与 CoffeeScript 兼容(如果代码没有外部变量赋值则完全兼容)?我会考虑使用可接受
这个问题已经有答案了: Why is BiConsumer allowed to be assigned with a function that only accepts a single para
我的 Java 应用程序需要一个高性能主内存数据库 1] 请建议数据库 -符合 JDBC -独立(即平面文件) -支持内存表 -高性能 -B-TREE索引 2] JAVA中是否有任何技术可以在程序运行
我通常会找到一些以char*作为参数的函数,但是我听说在C++中更推荐std::string。如何将std::string对象与以char* s为参数的函数一起使用?到目前为止,我已经知道了c_str
我正在移植我的一个旧 javascript 文件以与 requireJS 兼容。这是以前代码的样子。 // effect.js (function(exports){ // shorthand
在今天更新我的 SDK 之前,我有工作代码(为了将来引用,请查看问题询问日期)。 .getMap 曾经发出警告,表明它已被弃用,但现在它甚至不被识别为有效输入。我假设这是因为 API 24(Andro
根据 this reference sheet on hyperpolyglot.org , 下面的语法可以用来设置一个数组。 i=(1 2 3) 但是我在 dash 上遇到错误,它是 Ubuntu
我的 MacBook 上安装了 MYSQL 8.0.12(下载版本)。当我尝试转储 mysql40 的兼容版本时,收到错误 Invalid mode to --known: mysql40。我 100
您好,我正在更改我的版本控制系统,我调查了 perforce 是否与 bcm 补救措施兼容。有谁知道其他版本的控制系统也与 bcm 补救措施兼容?? 最佳答案 BMC Remedy 会更接近 Clea
我需要在 python 中的图像上绘制一般坐标网格。我可以计算网格线的像素坐标,因此我只需要一个能够将它们绘制为图像顶部的虚线 的模块。图像以 numpy 数组的形式出现,因此我需要能够在这些格式和绘
库接受文件输入的“传统”方式是做这样的事情: def foo(file_obj): data = file_obj.read() # Do other things here 客户端代
代码 Untitled Document #topDropDownMenu { position: relative;
我是一名优秀的程序员,十分优秀!