阿里SSL证书安装问题
问题发现
由于 jianz.xyz 域名证书过期导致 OneDay纪念日 微信小程序不能正常访问,收到大量反馈。
之前是在 https://freessl.cn/ 中申请的免费证书,现替换为阿里免费证书。
在阿里证书控制台申请证书之后,使用阿里自带的部署功能进行部署后测试,https域名可以正常打开,但是微信小程序提示 对应的服务器证书无效,尝试各种重启之后依旧无效。
在微信开发社区搜索发现对证书的要求如下:
HTTPS 证书
小程序必须使用 HTTPS/WSS 发起网络请求。请求时系统会对服务器域名使用的 HTTPS 证书进行校验,如果校验失败,则请求不能成功发起。由于系统限制,不同平台对于证书要求的严格程度不同。为了保证小程序的兼容性,建议开发者按照最高标准进行证书配置,并使用相关工具检查现有证书是否符合要求。
对证书要求如下:
HTTPS 证书必须有效;证书必须被系统信任,即根证书被已系统内置
部署 SSL 证书的网站域名必须与证书颁发的域名一致
证书必须在有效期内
证书的信任链必需完整(需要服务器配置)
iOS 不支持自签名证书;
iOS 下证书必须满足苹果 App Transport Security (ATS) 的要求;
TLS 必须支持 1.2 及以上版本。部分旧 Android 机型还未支持 TLS 1.2,请确保 HTTPS 服务器的 TLS 版本支持 1.2 及以下版本;
部分 CA 可能不被操作系统信任,请开发者在选择证书时注意小程序和各系统的相关通告。Chrome 56/57 内核对 WoSign、StartCom 证书限制周知
证书有效性可以使用 openssl s_client -connect example.com:443 命令验证,也可以使用其他在线工具。
除了网络请求 API 外,小程序中其他 HTTPS 请求如果出现异常,也请按上述流程进行检查。如 https 的图片无法加载、音视频无法播放等。
https://developers.weixin.qq.com/miniprogram/dev/framework/ability/network.html
这是小程序的要求,你对照着检查一下。有可能你换的证书有问题,或者你换的时候把证书文件填错了。尝试在 MySSL在线工具 中检测,提示 证书链不完整
解决方案
在服务器中使用命令检测证书链完整性
openssl s_client -connect example.com:443显示如下
---
Certificate chain
0 s:/CN=jianz.xyz
i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=Encryption Everywhere DV TLS CA - G1
---只有域名证书,没有CA中间证书,表示证书链不完整。
下载根证书和中间证书
在 阿里证书控制台 重新下载证书并上传部署
替换后
---
Certificate chain
0 s:/CN=jianz.xyz
i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=Encryption Everywhere DV TLS CA - G1
1 s:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=Encryption Everywhere DV TLS CA - G1
i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Global Root CA
---0 域名证书,1 CA中间证书,证书链完整。
重启 nginx 小程序测试ok。
原因
大概是因为阿里自带的部署工具的问题,手动下载后上传到服务器中进行部署后解决问题。
参考
https://developers.weixin.qq.com/community/develop/doc/0006e6e15d48802d0bcbee9ac5b000
https://developers.weixin.qq.com/miniprogram/dev/framework/ability/network.html
https://myssl.com/
https://help.aliyun.com/document_detail/405709.html