微信小程序 - HTTPS 证书链解决方案
Posted 放羊的牧码
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了微信小程序 - HTTPS 证书链解决方案相关的知识,希望对你有一定的参考价值。
问题信息
errMsg: "request:fail -2:net::ERR_FAILED" errno: 600001
Ps1:这个错误是在微信小程序项目迁移的时候,调用 HTTPS API 时一不小心配置错了很容易产生的问题,DDDD~
Ps2:电脑端工具能访问 API 成功,估计是勾选了不效验合法域名的原因,而手机端就显示报错
分析原因
猜想1:一开始还以为是 HTTPS 域名没备案导致的,后来备案成功也不行
猜想2:小程序开发设置里白名单必须填写服务器 IP?并不是
猜想3:二级域名需要重新备案?顶级备案后即可
猜想4:HTTPS Chrome 浏览器访问域名也是安全锁了...咋还不行...
翻了一些资料发现是有一个叫“证书链”不完整导致的,那么这个“证书链”完整去哪里搞?(见微信小程序官方文档 - 下面标红重点答案)
HTTPS 证书(采自微信小程序官网文档)
小程序必须使用 HTTPS/WSS 发起网络请求。请求时系统会对服务器域名使用的 HTTPS 证书进行校验,如果校验失败,则请求不能成功发起。由于系统限制,不同平台对于证书要求的严格程度不同。为了保证小程序的兼容性,建议开发者按照最高标准进行证书配置,并使用相关工具检查现有证书是否符合要求。
对证书要求如下:
HTTPS 证书必须有效;
证书必须被系统信任,即根证书被已系统内置
部署 SSL 证书的网站域名必须与证书颁发的域名一致
证书必须在有效期内
证书的信任链必需完整(需要服务器配置)
ios 不支持自签名证书;
iOS 下证书必须满足苹果 App Transport Security (ATS) 的要求;
TLS 必须支持 1.2 及以上版本。部分旧 android 机型还未支持 TLS 1.2,请确保 HTTPS 服务器的 TLS 版本支持 1.2 及以下版本;
部分 CA 可能不被操作系统信任,请开发者在选择证书时注意小程序和各系统的相关通告。
证书有效性可以使用 openssl s_client -connect example.com:443 命令验证,也可以使用其他在线工具。
除了网络请求 API 外,小程序中其他 HTTPS 请求如果出现异常,也请按上述流程进行检查。如 https 的图片无法加载、音视频无法播放等。
在线工具地址: https://myssl.com/ssl.html
Tip:输入域名,点击检测,可以发现的确显示“证书链不完整”!
另:在线工具地址: https://www.digicert.com/help(这个用的也比较多)
Tip:一样的套路,输入域名,点击按钮检测即可,下面会出分析报告噢~只是这个是英文版
解决方案
获取完整证书链地址: https://myssl.com/chain_download.html
Tip:输入域名,点击获取证书链,下面会弹出完整的证书链,复制保存也好,按照上面说的下载下来也好,保存为 .crt 文件,最后就只要重新把这个 .crt 生成并发布证书到服务器上即可,因为我这边是 K8s,所以在下一篇会讲解到如何把普通的 HTTP 升级到 HTTPS 在 K8S 上的应用部署方案?!
参考文档
以上是关于微信小程序 - HTTPS 证书链解决方案的主要内容,如果未能解决你的问题,请参考以下文章
微信小程序部分安卓机型发起 HTTPS 请求频繁出现超时问题