微信小程序 - HTTPS 证书链解决方案

Posted 2023-03-10 放羊的牧码

问题信息

errMsg: "request:fail -2:net::ERR_FAILED" errno: 600001

Ps1：这个错误是在微信小程序项目迁移的时候，调用 HTTPS API 时一不小心配置错了很容易产生的问题，DDDD~

Ps2：电脑端工具能访问 API 成功，估计是勾选了不效验合法域名的原因，而手机端就显示报错

分析原因

• 猜想1：一开始还以为是 HTTPS 域名没备案导致的，后来备案成功也不行

• 猜想2：小程序开发设置里白名单必须填写服务器 IP？并不是

• 猜想3：二级域名需要重新备案？顶级备案后即可

• 猜想4：HTTPS Chrome 浏览器访问域名也是安全锁了...咋还不行...

• 翻了一些资料发现是有一个叫“证书链”不完整导致的，那么这个“证书链”完整去哪里搞？（见微信小程序官方文档 - 下面标红重点答案）

HTTPS 证书（采自微信小程序官网文档）

小程序必须使用 HTTPS/WSS 发起网络请求。请求时系统会对服务器域名使用的 HTTPS 证书进行校验，如果校验失败，则请求不能成功发起。由于系统限制，不同平台对于证书要求的严格程度不同。为了保证小程序的兼容性，建议开发者按照最高标准进行证书配置，并使用相关工具检查现有证书是否符合要求。

对证书要求如下：

• HTTPS 证书必须有效；

• 证书必须被系统信任，即根证书被已系统内置

• 部署 SSL 证书的网站域名必须与证书颁发的域名一致

• 证书必须在有效期内

• 证书的信任链必需完整（需要服务器配置）

• ios 不支持自签名证书;

• iOS 下证书必须满足苹果 App Transport Security (ATS) 的要求;

• TLS 必须支持 1.2 及以上版本。部分旧 android 机型还未支持 TLS 1.2，请确保 HTTPS 服务器的 TLS 版本支持 1.2 及以下版本;

• 部分 CA 可能不被操作系统信任，请开发者在选择证书时注意小程序和各系统的相关通告。

• Chrome 56/57 内核对 WoSign、StartCom 证书限制周知

证书有效性可以使用 openssl s_client -connect example.com:443 命令验证，也可以使用其他在线工具。

除了网络请求 API 外，小程序中其他 HTTPS 请求如果出现异常，也请按上述流程进行检查。如 https 的图片无法加载、音视频无法播放等。

在线工具地址： https://myssl.com/ssl.html

Tip：输入域名，点击检测，可以发现的确显示“证书链不完整”！

另：在线工具地址： https://www.digicert.com/help（这个用的也比较多）

Tip：一样的套路，输入域名，点击按钮检测即可，下面会出分析报告噢~只是这个是英文版

解决方案

获取完整证书链地址： https://myssl.com/chain_download.html

Tip：输入域名，点击获取证书链，下面会弹出完整的证书链，复制保存也好，按照上面说的下载下来也好，保存为 .crt 文件，最后就只要重新把这个 .crt 生成并发布证书到服务器上即可，因为我这边是 K8s，所以在下一篇会讲解到如何把普通的 HTTP 升级到 HTTPS 在 K8S 上的应用部署方案？！

参考文档