微信小程式Server環境設定詳解
#主要內容:
1. SSL免費憑證申請步驟
2. Nginx HTTPS 設定
3. TLS 1.2 升級過程
微信小程式要求使用https 傳送請求,那麼Web伺服器就要設定成支援https ,需要先申請SSL憑證
小程式也要求TLS(傳輸層安全性協定)的版本至少為1.2,在設定好 https之後,如果TLS 的版本較低,就涉及升級問題
所以Server端環境配置的主要步驟:
申請SSL 憑證
設定web伺服器支援https(我使用的是nginx)
升級到TLS 1.2
#SSL證書申請
https 需要使用SSL證書,這個證書的價格是每年三五千到一萬多,對於小團隊或者是想熟悉一下小程式的使用者來說,這個價格還是比較高的,這種情況可以選擇免費證書,另外,也可以考慮一下雲端服務,例如野狗、LeanCloud 這些成熟的服務平台,都支援https,如果這些平台能滿足自己的業務需求,就省掉了很多麻煩
免費證書:阿里雲上的賽門鐵克免費型DV SSL
申請流程
登入控制台,點擊左側選單中的安全-> 憑證服務,這個頁面中右上角有購買憑證 按鈕,點選進入購買頁,選擇免費型DV SSL,購買
訂單金額為0 元,只是走一遍購買流程,完成後回到證書服務頁面,可以在列表中看到一個證書
##首先進行“
補全” 操作,填寫自己的網域和基本資訊
之後“
補全” 連線會變成“進度”,點擊後根據提示操作,主要是驗證自己的伺服器,我選的是檔案驗證,下載一個檔案上傳到自己伺服器,等待驗證
驗證沒問題後,大概10分鐘左右就可以下載SSL證書了
Nginx HTTPS 設定
憑證上傳到nginx目錄下,例如
/usr/local/nginx/cert
登入後複製
修改
conf/nginx.conf
配置HTTPS server 塊兒,添加SSL配置
# HTTPS server
#
server {
listen 443 ssl;
server_name localhost;
......
ssl on;
ssl_certificate /usr/local/nginx/cert/213994146300992.pem;
ssl_certificate_key /usr/local/nginx/cert/213994146300992.key;
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
location / {
root html;
index index.html index.htm;
}
......
}登入後複製
重新加載配置文件,瀏覽器中使用
https 方式訪問自己的域名,看是否可以正常訪問
升級到TLS 1.2
查看TLS 版本
訪問https url 後,網址列前面會有一個綠色小鎖圖標,點擊它可以查看到TLS 版本資訊
如果沒有達到
1.2 就需要升級
下面的操作環境為centos linux
1)查看openssl 版本
https://www.openssl.org/source/
登入後複製
登入後複製
1.0.2
以下的版本就要升級,之前的版本官方都已經停止維護
2)升級openssl
#到官網下載新版
https://www.openssl.org/source/
登入後複製
登入後複製
例如下載到
/usr/local
升級
cd /usr/local
tar zxvf openssl-1.0.2j.tar.gz
cd openssl-1.0.2j
./config --prefix=/usr/local/openssl
make && make install
mv /usr/bin/openssl \
/usr/bin/openssl.OFF
mv /usr/include/openssl \
/usr/include/openssl.OFF
ln -s \
/usr/local/openssl/bin/openssl \
/usr/bin/openssl
ln -s \
/usr/local/openssl/include/openssl \
/usr/include/openssl
echo "/usr/local/openssl/lib"\
>>/etc/ld.so.conf
ldconfig -v
登入後複製
驗證
3)重新編譯nginx
升級
OpenSSL之後,nginx需要重新編譯,否則TLS還是舊版的
下面是基本安裝,如您需求更多,請自行調整
使用到的軟體
openssl
前面已經安裝完成了
pcre
pcre安裝:
下载地址
http://www.pcre.org/
例如下载到 /usr/local
cd /usr/local
tar -zxv -f pcre-8.39.tar.gz
cd pcre-8.39
./configure --prefix=/usr/local/pcre/
make && make install
登入後複製
zlib安裝
下载地址
http://www.zlib.net/
例如下载到 /usr/local
cd /usr/local
tar -zxv -f zlib-1.2.10.tar.gz
cd zlib-1.2.10
./configure --prefix=/usr/local/zlib/
make && make install
登入後複製
編譯nginx:
tar zxvf nginx-1.10.3.tar.gz
cd nginx-1.10.3
./configure --prefix=/data/nginx --with-http_ssl_module --with-openssl=/usr/local/openssl
登入後複製
tar -zxvf nginx-1.10.2.tar.gz
cd nginx-1.10.2
./configure \
--user=用户 \
--group=组 \
--prefix=/usr/local/nginx \
--with-http_ssl_module \
--with-openssl=/usr/local/openssl-1.0.2j \
--with-pcre=/usr/local/pcre-8.39 \
--with-zlib=/usr/local/zlib-1.2.10 \
--with-http_stub_status_module \
--with-threads
make && make install
登入後複製
然後啟動nginx,訪問https url 再次驗證TSL 版本
Nginx編譯安裝時遇到的問題:
報錯資訊如下:
/bin/sh: line 2: ./config: No such file or directory
make[1]: *** [/usr/local/ssl/.openssl/include/openssl/ssl.h] Error 127
make[1]: Leaving directory `/usr/local/src/nginx-1.10.2‘
make: *** [build] Error 2
登入後複製
要說明的是,我在這裡編譯所使用的Nginx原始碼是1.10.2的。根據報錯資訊我們知道,出錯是因為Nginx在編譯時並不能在/usr/local/ssl/.openssl/ 這個目錄找到對應的文件,其實我們開啟/usr/local/ssl/這個目錄可以發現這個目錄下是沒有.openssl目錄的,因此我們修改Nginx編譯時對openssl的路徑選擇就可以解決這個問題了########解決方案:#########打開nginx原始檔下的/root/nginx-1.10.2/auto/lib/openssl/conf檔######找到這麼一段程式碼:###
CORE_INCS="$CORE_INCS $OPENSSL/.openssl/include"
CORE_DEPS="$CORE_DEPS $OPENSSL/.openssl/include/openssl/ssl.h"
CORE_LIBS="$CORE_LIBS $OPENSSL/.openssl/lib/libssl.a"
CORE_LIBS="$CORE_LIBS $OPENSSL/.openssl/lib/libcrypto.a"
CORE_LIBS="$CORE_LIBS $NGX_LIBDL"
登入後複製
###修改成以下程式碼:###
CORE_INCS="$CORE_INCS $OPENSSL/.openssl/include"
CORE_DEPS="$CORE_DEPS $OPENSSL/include/openssl/ssl.h"
CORE_LIBS="$CORE_LIBS $OPENSSL/lib/libssl.a"
CORE_LIBS="$CORE_LIBS $OPENSSL/lib/libcrypto.a"
CORE_LIBS="$CORE_LIBS $NGX_LIBDL"
登入後複製
###然後再進行Nginx的編譯安裝即可###
以上是微信小程式開發之詳解Nginx的環境配置的詳細內容。更多資訊請關注PHP中文網其他相關文章!
