今天小伍不准备给大家普及技术知识,就是以常见的 Let’s Encrypt 证书和腾讯云免费申请有效期一年的 SSL 证书为例给大家讲述清楚如何补全自己网站的 SSL 证书链以便达到最好的 SSL 兼容性,特别是在小程序开发使用的时候,这是非常必要的一个基础环境,特别是微信小程序对 SSL 要求的严格是出了名的。
可以说小伍算是个人博客里比较早用上 HTTPS 的了,折腾 SSL 证书也算是熟门熟路了都!可惜一直都忽略了证书链的存在,基本都是无视,直到开始折腾微信小程序后才算是对证书链有了一些关注,但也仅仅是关注而已,从来没有深入的研究过,这次在部署和使用【DragonAuth 微信登录小程序】的时候(可参考【本博客已经支持微信扫码注册、登录以及绑定了!】一文)才算是彻底见识了这个“坑”的威力。
微信小程序对 SSL 的严格在业界是出了名的,这次部署小程序就见识到了,最后一个“403”错误让人抓狂了很久才算是锁定到 SSL 证书上,问题就出在 SSL 证书链上,原因是证书链不完整造成的。什么是证书链
证书链也称认证链,它是最终实体到根证书的一系列证书组成,这个证书链的处. 理过程是所有根的前辈指向最开始的根证书,即子辈连向父辈。. 如图 1 所示。. (2) 从用户实体证书到 ROOT CA 的证书链确认,其具体的做法如下页图 2 所示。. 从以上对比中可以看出:用户实体证书中的 AuthorityKey Identifier 扩展项 CertIssuer,即证书签发者的. 甄别名,应当与 CA 证书中签发此证书的 CA 名称相匹配,如图中箭头所指。. 即 CA 证书中的 Subject Name. 是用户实体证书中 Issuer Name 的 父名,对上级 CA 来说又成为子名,CA 证书中 Issuer Name 是上一级 CA 的. 名字 ,成为可信任的链状结构。
Let’s Encrypt 证书链
今天小伍不准备给大家普及技术知识,就是以常见的 Let’s Encrypt 证书和腾讯云免费申请有效期一年的 SSL 证书为例给大家讲述清楚如何补全自己网站的 SSL 证书链以便达到最好的 SSL 兼容性,特别是在小程序开发使用的时候,这是非常必要的一个基础环境,特别是微信小程序对 SSL 要求的严格是出了名的。
最后给大家推荐一下 HiCA 证书:
至于小伍推荐 HiCA 的原因就是相对于 Let’s Encrypt 来说 HiCA 免费续期时间可以长达 180 天的哦,还支持 IPv4、IPv6,还提供大陆 OCSP 呢,并且跟 Let’s Encrypt 一样支持 ACME 协议,可以借助免费开源的 acme.sh 脚本在 Linux 控制台终端就完成申请、部署、续期、注销,免费的哦!
评论 (0)