微信小措施Server环境配置详解

主要内容：

1. SSL免费证书申请法式
2. Nginx HTTPS 配置
3. TLS 1.2 升级过程

微信小措施要求使用 https 发送请求，那么Web处事器就要配置成撑持 https，需要先申请SSL证书

小措施也要求 TLS（传输层安适协议）的版本至少为 1.2，在配置好 https之后，如果 TLS 的版本较低，就涉及到升级问题

所以 Server端环境配置的主要法式：

申请 SSL 证书

配置web处事器撑持https（我使用的是nginx）

升级到 TLS 1.2

SSL证书申请

https 需要使用SSL证书，这个证书的价格为每年三五千到一万多，对付小团队或者是想熟悉一下小措施的用户来说，这个价格还是对照高的，这种情况可以选择免费证书,此外，也可以考虑一下云处事，例如 野狗、LeanCloud 这些成熟的处事平台，都撑持 https，如果这些平台能满足本身的业务需求，就省失了很多麻烦

免费证书：阿里云上的 赛门铁克 免费型DV SSL

申请过程

wanwang.aliyun.com

登录控制台，点击左侧菜单中的 安适 -> 证书处事，这个页面中右上角有 采办证书 按钮，点击进入采办页，选择免费型DV SSL，采办

订单金额为0元，只是走一遍采办流程，完成后回到证书处事页面，可以在列表中看到一个证书

首先进行 “补全” 操纵，填写本身的域名和根基信息

之后 “补全” 连接会变为 “进度”，点击后按照提示操纵，主要是验证本身的处事器，我选的是文件验证，下载一个文件上传到本身处事器，期待验证

验证没问题后，概略10分钟摆布就可以下载SSL证书了

Nginx HTTPS 配置

证书上传到nginx目录下，例如

/usr/local/nginx/cert

改削 conf/nginx.conf

配置 HTTPS server 块儿，添加SSL配置

# HTTPS server # server { listen 443 ssl; server_name localhost; ...... ssl on; ssl_certificate /usr/local/nginx/cert/213994146300992.pem; ssl_certificate_key /usr/local/nginx/cert/213994146300992.key; ssl_session_timeout 5m; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; location / { root html; index index.html index.htm; } ...... }

从头加载配置文件，浏览器中使用 https 方法访谒本身的域名，看是否可以正常访谒

升级到 TLS 1.2检察 TLS 版本

访谒 https url 后，地点栏前面会有一个绿色小锁图标，点击它可以检察到 TLS 版本信息

如果没有到达 1.2 就需要升级

下面的操纵环境为 centos linux

1）检察 openssl 版本

https://www.openssl.org/source/

1.0.2以下的版本就要升级，之前的版本官方都已经遏制维护

2）升级 openssl

到官网下载新版

https://www.openssl.org/source/

例如下载到 /usr/local

升级

cd /usr/local tar zxvf openssl-1.0.2j.tar.gz cd openssl-1.0.2j ./config --prefix=/usr/local/openssl make && make install mv /usr/bin/openssl \ /usr/bin/openssl.OFF mv /usr/include/openssl \ /usr/include/openssl.OFF ln -s \ /usr/local/openssl/bin/openssl \ /usr/bin/openssl ln -s \ /usr/local/openssl/include/openssl \ /usr/include/openssl echo "/usr/local/openssl/lib"\ >>/etc/ld.so.conf ldconfig -v

验证

openssl version -a

3）从头编译 nginx

升级OpenSSL之后，nginx需要从头编译，否则TLS还是旧版本的

下面是根基安置，如您需求更多，请自行调解

用到的软件

openssl

前面已经安置完了

pcre

下载地点

例如下载到 /usr/local

cd /usr/local tar -zxv -f pcre-8.39.tar.gz cd pcre-8.39 ./configure --prefix=/usr/local/pcre/ make && make install

zlib

下载地点

例如下载到 /usr/local

cd /usr/local tar -zxv -f zlib-1.2.10.tar.gz cd zlib-1.2.10 ./configure --prefix=/usr/local/zlib/ make && make install

编译nginx

tar -zxvf nginx-1.10.2.tar.gz cd nginx-1.10.2 ./configure \ --user=用户 \ --group=组 \ --prefix=/usr/local/nginx \ --with-http_ssl_module \ --with-openssl=/usr/local/openssl-1.0.2j \ --with-pcre=/usr/local/pcre-8.39 \ --with-zlib=/usr/local/zlib-1.2.10 \ --with-http_stub_status_module \ --with-threads make && make install

编译完成后，记得把改削配置文件，添加好 SSL 的相关信息

然后启动nginx，访谒 https url 再次验证 TSL 版本

小结

颠末这些法式，微信小措施就可以和后端正常相同了

参考地点：?__biz=MzA4Nzc4MjI4MQ==&mid=2652402451&idx=1&sn=56e3122d6c8774ba457d2ced49c8321a&chksm=8bd8f5f5bcaf7ce3e4b51336e7e7debbaad5c6e02954982756ed0da0572127b61d8754f6cb79&mpshare=1&scene=23&srcid=0110JlMJP90O3osLzHgO3onE#rd