现象描述:
在项目组一个H5应用项目上线后,进行测试验证时,发现在部分Android手机上的微信的内置浏览器中打开时会出现页面空白的现象。
经不完全统计,出现三星s8、华为p9、华为nova2s、小米X5等手机打开个人中心显示为空白。如下所示:
定位问题:
1、 出现页面空白后,怀疑页面请求问题,使用代理工具监控请求发现https请求正常。
2、 登录外网Nginx服务器,在access.log日志中不能发现android手机发起的请求日志,这表明请求并未到达nginx服务器上,开始向网络同事寻求帮助是否有防火墙策略拦住请求。
3、 在nginx服务器上开启http/https双端口进行测试,对同一个资源请求文件进行测试,测试步骤如下
在android手机上通过微信APP打开
http://xx.com/pay/MP_verify_8Dp9kFKywgQTSVeY.txt 正常https://xx.com/pay/MP_verify_8Dp9kFKywgQTSVeY.txt 空白且nginx服务器access.log无请求日志。
4、 后续怀疑https环境有问题,借助网上的第三方检测工具来检查当前的证书链是否完整:如
检测xx.com结果如下图所示
5、确认Nginx服务器SSL证书链配置不当。证书需要上传服务器证书、CA证书,再是私钥部分。推断出漏传了CA证书部分,引发了部分环境因为缺乏证书链下https识别有问题。
Nginx服务器配置SSL
CFCA公司代理GlobalSign的签发及管理,有如下4个文件,分别是
其中根证书、中级证书、公钥分别如下图所示:
将服务器证书、中级证书和根证书打开,依次将其代码复制到文本文件中(包
括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”),并保存成 server.crt。
如下:
-----BEGIN CERTIFICATE----- 服务器证书编码 -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- 中级证书编码 -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- 根证书编码 -----END CERTIFICATE-----
在linux服务器使用如下,将根证书、公钥合并成CRT文件,保证Nginx 使用 KEY 和 CRT 格式的证书:
1) cp SSLCERT.cer server.crt
2) 增加一空行
3) cat Organization.cer >> server.crt
nginx配置如下:(通过验证)
,