BD7JHH

@yuzo555 DNS 验证可以签发泛域证书，HTTP 的好像不行。

我是自己做了个集中签发管理的东西，把所有要签发的域名做了个统一管理，用的是 DNS 模式的签发。
签发后的证书统一保存，然后做了了证书同步客户端，分别有 2 个功能：
1 、自动同步证书到指定目录（ NGINX/APACHE 之类的配置好证书文件），证书一旦更新后，就 systemctl reload nginx
2 、根据需要（配置），向 DCDN 自动更新证书。

自从有了这个客户端，相同域名下的各个子域名，就算分布在不同的服务器，都能使用同一套证书，而且主控一更新，客户端跟着统一更新了。现在用得很舒服。

目前状态：
开启 2.0 架构的，目测真的不会产生高频健康检查访问
但同时好像非 2.0 架构的情况下，如果不添加备用回源 IP ，好像也不会产生高频访问。这个在持续观察中

@dorothyREN 这个回源 http 确实不会产生这个问题，之前其他域名的配置就是回源 HTTP 。只不过现在考虑的还是回源 HTTPS

@wushenlun 回源 HOST 也有 回源 SNI 也填写了

目前更新：
阿里云售后打电话给我了，说让我新开 1 个域名，然后单独的把新的域名打开 2.0 架构，看看是否存在问题。

同时目前的工单继续处理中，说是已经提升级别了。看后续吧~~

@Shiroka 不是 2.5 秒，我遇到的是 1 秒好多次，而且是多个节点都同时做高频请求。3 小时，10W 次的健康检查。

单主 和 主备，都一样

@yinmin 如果配置为真实证书，这好像违反了默认站点禁止访问的原则。
我曾经试过使用自签证书作为默认站点的证书，这时候报错信息没有了，但如果打开 debug 级别的，还是看到高频访问。

如果使用 empty ，改成 404 甚至 200 都没用，因为是在 SSL 握手阶段就报错，然后就断开了。
如果使用自签证书，证书无效也会断开的。

基本的问题不在于状态码，而在 SSL 握手阶段，而再进一步说，健康检查高频请求不带业务域名，这是后端健康检查的业务逻辑有问题。

客户配置了所有可以配置的回源域名，回源 SNI ，那健康检查应该遵循业务配置进行健康检查。而不是自己萌生出 1 个非正常请求。

@wy315700 源站是填 IP ，端口选 443 ，已设置回源域名，已设置回源 SNI 域名。
如果源站不填 IP ，填源站域名，那不就是死循环了？加速域名和源站域名是同 1 个域名，然而加速域名配了 CNAME ，如果源站也配成相同域名，不就死循环了？

源站走 SSL 目前感觉不到速度影响，CDN 加速主要是对静态资源进行缓存（所以源站是 SSL 并不会影响内容缓存加速）

源站走 SSL 的目的是在源站和 DCDN 节点间的通讯也加密

按用户端的理解，既然是健康检查，为什么不走带域名的健康检查，而直接请求和加速域名不相关的请求？

@wy315700 但阿里云的 DCDN 源站健康检查（源站运行情况）是绿色的“健康”。
也就是阿里云自己给出的源站健康报告没有问题。

同时这个健康检查请求，只是在 SSL 握手阶段就产生错误，并关闭连接了。并没有到状态码的环节。

就是 SSL 握手，证书不对，就关闭了连接。

问题不在于证书对不对，而是健康检查为什么不带回源域名进行访问？而去直接访问 IP 。