最新消息:20210917 已从crifan.com换到crifan.org

【已解决】给阿里云的带域名的服务器加https

证书 crifan 598浏览 0评论
折腾:
【未解决】小程序中如何让api服务器满足要求:已备案的带域名的https
期间,需要去给,之前已经有了域名:
www.xxx
的服务器,目前在阿里云,添加https的安全证书。
其中:
之前很久之前折腾过免费的Let’s Encrypt的https,普通网站用用,还行。
但是不知道此处的Let’s Encrypt,是否满足小程序的要求:
基础能力 · 小程序
“HTTPS 证书
小程序必须使用 HTTPS/WSS 发起网络请求。请求时系统会对服务器域名使用的 HTTPS 证书进行校验,如果校验失败,则请求不能成功发起。由于系统限制,不同平台对于证书要求的严格程度不同。为了保证小程序的兼容性,建议开发者按照最高标准进行证书配置,并使用相关工具检查现有证书是否符合要求。
对证书要求如下:
* HTTPS 证书必须有效;
    * 证书必须被系统信任,即根证书被已系统内置
    * 部署 SSL 证书的网站域名必须与证书颁发的域名一致
    * 证书必须在有效期内
    * 证书的信任链必需完整(需要服务器配置)
* iOS 不支持自签名证书;
* iOS 下证书必须满足苹果  App Transport Security (ATS) 的要求;
* TLS 必须支持 1.2 及以上版本。部分旧 Android 机型还未支持 TLS 1.2,请确保 HTTPS 服务器的 TLS 版本支持 1.2 及以下版本;
* 部分 CA 可能不被操作系统信任,请开发者在选择证书时注意小程序和各系统的相关通告。
    * Chrome 56/57 内核对 WoSign、StartCom 证书限制周知
证书有效性可以使用 openssl s_client -connect example.com:443 命令验证,也可以使用其他在线工具。”
Chrome 56/57 内核对 WoSign、StartCom 证书限制周知 | 微信开放社区
Cocoa Keys
lets encrypt 的证书,是否满足:根证书被已系统内置 
lets encrypt 根证书被已系统内置
别闹!自签名证书! – 知乎
“实际上,顶级的 CA 屈指可数,那些其他签发商,其实是被间接信任的,正好在前几天,Let’s Encrypt 发布了一条消息,说明他们未来会被所有主要的程序直接信任,而过去,他们一直是被间接信任的,是由于浏览器和操作系统信任 IdenTrust,而 IdenTrust 信任他们,因此他们才被信任:
Browsers and operating systems have not, by default, directly trusted Let’s Encrypt certificates, but they trust IdenTrust, and IdenTrust trusts us, so we are trusted indirectly. IdenTrust is a critical partner in our effort to secure the Web, as they have allowed us to provide widely trusted certificates from day one.”
-》那看来,对于:
“    * 证书必须被系统信任,即根证书被已系统内置”
这条,Let’s Encrypt,未必能在其他移动端,比如iOS,Android等设备中直接被系统信任啊
使用 letsencrypt 将网站弄成 https 的之后,如何做双向的 ssl 认证 – V2EX
Let’s Encrypt 证书浏览器不支持(不识别)怎么办? – 壁立千仞无欲则刚的博客 – CSDN博客
“1、浏览器怎么判断支不支持某个证书?
流量器有内置一个根证书列表,如果您网站的证书授权机构的根证书在这个列表里,那么就支持,如果没在这个列表里,就不支持。”
-》看来浏览器的自带根证书,好像是不包含Let’s Encrypt的
Certificate Transparency 那些事 | JerryQu 的小站
根证书 系统内置 let’s encrypt
使用Let’s Encrypt免费SSL证书实现全站HTTPS – Crains
再去看看:
阿里云 https证书
证书服务_SSL数字证书_HTTPS加密_服务器证书_CA认证 -阿里云
“SSL证书
SSL证书,在云上签发各品牌数字证书,实现网站HTTPS化,使网站可信,防劫持、防篡改、防监听。并进行统一生命周期管理,简化证书部署,一键分发到云上产品。”
目前看来:
  • 最便宜的:GeoTrust OV证书 2100+/年
  • 中等的:GeoTrust EV证书 4200+/年
SSL证书-阿里云
计费方式_产品定价_SSL证书-阿里云
阿里云定价_云产品价格
好像没有优惠,最便宜是4000元/年
去购买看看实际价格是否有优惠:
云盾证书服务(包年)-购买-阿里云
云盾证书服务(包年)-购买-阿里云
目前看来:
希望支持:
www.xxx
dev.natruling.com
的话,则需要申请:
*.example.com
的通配符证书
最低价格貌似是:
5000+
购买流程_产品定价_SSL证书-阿里云
所以现在是:
我研究了下xxx加https的事情,目前结论如下:
* 用免费的(Let’s Encrypt)
  * 优点:不用花钱
  * 缺点:
    * 即使花了时间(大概1天左右)弄完,结果(60%概率)可能是:无法满足iOS,Android等移动端的小程序正常使用
      * 原因:移动端内置浏览器可能不认Let’s Encrypt的根证书
* 用收费的:阿里云合作的https证书
  * 优点:
    * 确保可以支持各种移动端和小程序的https正常使用
  * 缺点:花钱
    * 费用:5000元+/年
现在想要问的是:
是 直接省时间去用花钱的阿里云合作厂商的https证书,
还是 先花精力试试免费的 Let’s Encrypt,如果不行,再去弄阿里云的?
讨论结果是:
  • 别人有的是:
    • 网页端的https用的是let’s encrypt
  • 考虑到:阿里云的https有优惠活动:第一年免费
  • 建议:
    • 第一年:给dev.xxx用阿里云的免费的https
      • 明年续费时,再考虑要不要换https证书
    • 给网站www.xxx中用let’s encrypt
期间先去:
【整理】https证书 SSL证书基本知识
继续去:
【已解决】购买阿里云首年免费的https证书:Symantec免费型DV SSL证书
最后是: 
【已解决】使用已购买的阿里云免费SSL证书即去服务器中配置nginx的https证书

转载请注明:在路上 » 【已解决】给阿里云的带域名的服务器加https

发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
90 queries in 0.262 seconds, using 23.40MB memory