微信小程序 - HTTPS 证书链解决方案

Posted 放羊的牧码

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了微信小程序 - HTTPS 证书链解决方案相关的知识,希望对你有一定的参考价值。

问题信息

errMsg: "request:fail -2:net::ERR_FAILED" errno: 600001

Ps1:这个错误是在微信小程序项目迁移的时候,调用 HTTPS API 时一不小心配置错了很容易产生的问题,DDDD~

Ps2:电脑端工具能访问 API 成功,估计是勾选了不效验合法域名的原因,而手机端就显示报错

分析原因

  • 猜想1:一开始还以为是 HTTPS 域名没备案导致的,后来备案成功也不行

  • 猜想2:小程序开发设置里白名单必须填写服务器 IP?并不是

  • 猜想3:二级域名需要重新备案?顶级备案后即可

  • 猜想4:HTTPS Chrome 浏览器访问域名也是安全锁了...咋还不行...

  • 翻了一些资料发现是有一个叫“证书链”不完整导致的,那么这个“证书链”完整去哪里搞?(见微信小程序官方文档 - 下面标红重点答案)

HTTPS 证书(采自微信小程序官网文档)

小程序必须使用 HTTPS/WSS 发起网络请求。请求时系统会对服务器域名使用的 HTTPS 证书进行校验,如果校验失败,则请求不能成功发起。由于系统限制,不同平台对于证书要求的严格程度不同。为了保证小程序的兼容性,建议开发者按照最高标准进行证书配置,并使用相关工具检查现有证书是否符合要求。

对证书要求如下:

  • HTTPS 证书必须有效;

  • 证书必须被系统信任,即根证书被已系统内置

  • 部署 SSL 证书的网站域名必须与证书颁发的域名一致

  • 证书必须在有效期内

  • 证书的信任链必需完整(需要服务器配置)

  • ios 不支持自签名证书;

  • iOS 下证书必须满足苹果 App Transport Security (ATS) 的要求;

  • TLS 必须支持 1.2 及以上版本。部分旧 android 机型还未支持 TLS 1.2,请确保 HTTPS 服务器的 TLS 版本支持 1.2 及以下版本;

  • 部分 CA 可能不被操作系统信任,请开发者在选择证书时注意小程序和各系统的相关通告。

证书有效性可以使用 openssl s_client -connect example.com:443 命令验证,也可以使用其他在线工具。

除了网络请求 API 外,小程序中其他 HTTPS 请求如果出现异常,也请按上述流程进行检查。如 https 的图片无法加载、音视频无法播放等。

在线工具地址: https://myssl.com/ssl.html

Tip:输入域名,点击检测,可以发现的确显示“证书链不完整”!

另:在线工具地址: https://www.digicert.com/help(这个用的也比较多)

Tip:一样的套路,输入域名,点击按钮检测即可,下面会出分析报告噢~只是这个是英文版

解决方案

获取完整证书链地址: https://myssl.com/chain_download.html

Tip:输入域名,点击获取证书链,下面会弹出完整的证书链,复制保存也好,按照上面说的下载下来也好,保存为 .crt 文件,最后就只要重新把这个 .crt 生成并发布证书到服务器上即可,因为我这边是 K8s,所以在下一篇会讲解到如何把普通的 HTTP 升级到 HTTPS 在 K8S 上的应用部署方案?!

参考文档

以上是关于微信小程序 - HTTPS 证书链解决方案的主要内容,如果未能解决你的问题,请参考以下文章

微信小程序部分安卓机型发起 HTTPS 请求频繁出现超时问题

微信小程序 免费SSL证书httpsTLS版本问题的解决办法

微信小程序免费SSL证书httpsTLS版本问题的解决方案

微信小程序合法域名校验错误 ssl测试证书可以吗

微信小程序http转https

解决微信小程序配置https不成功问题