我第一次部署golang SSL相关的东西
这2天用golang部署wss给小游戏测试
我把拿到完整的pem拆解出cert给ListenAndServeTLS传进去
为什么要拆出来用呢!?
因为ListenAndServeTLS给的传参提示是certFile string
结果我特么给ListenAndServeTLS第二个参数使用的文件居然是这货的结果!
openssl x509 -in server.pem -out server.crt
结果是啥文件呢?crt是完整版chain的第一部分!!
然后测试了2天!研究了2天!!浪费了2天!!!我要狂暴了。
文件给https可以握手成功!
给微信开发者工具用也握手成功!
到真机体验版就特么各种握手不成功!
就在刚才,无意间看到了一篇文章:
说什么呢!?
对证书要求如下:
- HTTPS 证书必须有效;
- 证书必须被系统信任,即根证书被已系统内置
- 部署 SSL 证书的网站域名必须与证书颁发的域名一致
- 证书必须在有效期内
- 证书的信任链必需完整(需要服务器配置)
- iOS 不支持自签名证书;
- iOS 下证书必须满足苹果 App Transport Security (ATS) 的要求;
- TLS 必须支持 1.2 及以上版本。部分旧 Android 机型还未支持 TLS 1.2,请确保 HTTPS 服务器的 TLS 版本支持
1.2 及以下版本;- 部分 CA 可能不被操作系统信任,请开发者在选择证书时注意小程序和各系统的相关通告。 Chrome 56/57 内核对 WoSign、StartCom 证书限制周知
然后我又去看了一遍ListenAndServerTLS的描述:
原文描述后半段是:
If the certificate is signed by a certificate authority, the certFile should be the concatenation of the server's certificate, any intermediates, and the CA's certificate.
翻译过来就是:
如果证书是由证书颁发机构签署的,则certFile应该是服务器的证书、任何中间设备和CA的证书的串联。
什么意思呢!?
myssl.com测试后的结果如果证书链信息是3个,那么certFile就应该是3个包裹体
像这样:
-----BEGIN CERTIFICATE-----
xxxx
-----END CERTIFICATE----------BEGIN CERTIFICATE-----
xxxx
-----END CERTIFICATE----------BEGIN CERTIFICATE-----
xxxx
-----END CERTIFICATE-----
然后我就说想试试完整的fullchain把,然后就成功握手了!fuc*!*!!**!*!***!
err := http.ListenAndServeTLS(strRemote, CA_PATH+"fullchain.pem", CA_PATH+"privkey.pem", nil)