&

概述

本文主要介紹微信小程序訪問(wèn)CDN證書校驗(yàn)失敗的排查思路。

Android端微信小程序訪問(wèn)CDN的HTTPS請(qǐng)求出現(xiàn)證書校驗(yàn)失敗的情況。

提交的中間證書錯(cuò)誤。

在Android端微信小程序端訪問(wèn)CDN的證書出現(xiàn)校驗(yàn)失敗的情況，而在其他的瀏覽器中測(cè)試均是正常的，排查中間證書是否存在問(wèn)題。
查看其證書鏈?zhǔn)欠裢暾?，如果完整，說(shuō)明不是證書鏈問(wèn)題。
排查是否是SNI問(wèn)題導(dǎo)致的該問(wèn)題，抓取Android微信端訪問(wèn)具體異常。
分析該客戶端發(fā)起請(qǐng)求到服務(wù)器端，與服務(wù)器端交換證書報(bào)Certificate Unknown后拋出Reset，并且查看客戶端發(fā)出的SSL請(qǐng)求也帶有SNI信息。測(cè)試結(jié)果如下圖。
- 客戶端與服務(wù)器端交換證書后報(bào)錯(cuò)并發(fā)送RST包。
- 客戶端攜帶的SNI信息。
查看CDN節(jié)點(diǎn)服務(wù)器端返回的證書也是該域名的證書，并沒(méi)有查看到異常。CDN服務(wù)器端返回證書情況如下圖。
發(fā)現(xiàn)提交的中間證書錯(cuò)誤導(dǎo)致該問(wèn)題。而導(dǎo)出中間證書可以使用瀏覽器的導(dǎo)出證書功能。導(dǎo)出中間證書方式如下圖所示。