更多技术博客,请关注微信公众号:运维之美
现在很多网站都采用https方式来加强网站的安全性,https在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。在实际部署过程中,生产环境通常采用将https证书绑定在slb实例上。
现象
项目部署方式:应用部署在K8S集群上,申请的域名绑定在slb上,并配置了https访问。
访问方式:PC端浏览器访问、手机端集成企业微信进入
项目上线后,有用户反馈在安卓手机端企业微信中打开应用出现如下报错”无法访问该网页,服务器证书不可信,错误码:SSL_UNTRUSTED“报错,接到用户反馈后,在自己的PC端和手机端都进行了测试,访问都正常,无法复现用户反馈的现象,初步判断为个别用户问题。
问题分析
由于报错显示证书问题,所以从https证书方向进行排查,要想搞清问题原因,首先来分析一下:部分业务场景是在微信(WebView)中打开https的web页面,在测试过程中却发现了一个问题,在Chrome中测试完全正常的https页面,在iOS的微信(WebView)中表现正常,但在Android中,不论是哪个版本的安卓系统,都不能正常打开页面,要么就是一片白,要么就是直接无法打开,解决这个问题,需要在服务器上配置完整的SSL证书链。
证书链
也许Andorid的WebView不能打开页面应该是与这有关,造成这个问题的主要原因是我们服务器配置证书的证书链不全造成的。
证书链其实就是描述证书的签名环节,就比如是 A 颁发证书给 B ,B颁发证书给C,然后我们手里的就是证书C。当证书链不完整的情况下,也就是没有描述我们手中的证书C是由谁颁发的,所以导致的浏览器认为你的证书不是可信的授权证书。
每个设备中都会存有一些默认的可信的根证书,但很多CA是不使用根证书进行签名的,而是使用中间层证书进行签名( because these can be rotated more frequently)。
如果你的服务器上没有中间件证书,这样的结果就是你的服务器上只有你的网站的证书,客户端的浏览器里只有CA的根证书,这样就会导致证书信任链不全,才导致了上面截图中的问题。这种中间层证书不全的问题多出现在移动端的浏览器上。
当你服务器上的证书中的信任链不全的情况下,浏览器会认为当前的链接是一个不安全的,会阻止页面的打开,也就出现了服务器证书不可信的阻止界面。
解决问题
解决方案说清楚了原因,解决问题就很简单了,只要把我们的证书链补全就可以了。
首先我们验证检测下这证书是否完整
ssl证书在线检测工具
https://csr.chinassl.net/ssl-checker.html
警告信息: 缺少中级证书Intermediate,请安装中级证书否则证书在部分浏览器中不受信任
检测出来确实是证书链不完整,需要补全中间证书
我们使用证书链补全工具
https://whatsmychaincert.com/?from=https://blog.vircloud.net
点击Generate Chain,会自动下载一个新的证书,然后替换blb上绑定的证书后,问题即可解决。
重新检测,证书状态正常
此问题的原因为厂商提供的https证书缺少中间证书导致。
9629
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
