La compañía ha desarrollado recientemente un pequeño programa justo en la línea, antes del despliegue en nubes públicas, y más tarde quiere moverse a una nube privada. Los resultados después de la migración, y encontraron que el lado del teléfono de Apple de micro-canales PC puede ser una visita normal, con la excepción de los teléfonos Android no se puede. Y este problema no se produjo en una nube pública.
Este problema, el primer pensamiento es la estrategia de red de la compañía es la de limitar la parte de acceso de IP; en segundo lugar, pensar en la versión pública y privada implementaciones de la nube de si hay diferencias. Depuración dando vueltas en círculos alrededor de una semana, finalmente encontró el problema en realidad se encuentra en el certificado!
Una prueba de integridad certificado
Se configura en el certificado del gateway CRT RSA y el uso de SSL relacionados con propio formato PFX comando de conversión de la compañía, y en el proceso de implementación, inevitablemente, falta certificado intermedio Este paso (porque no lo hago bastante familiarizado con el certificado, Por otra parte, nginx de proxy no tiene elementos de configuración relevantes). . .
El siguiente sitio se utiliza para detectar la integridad del certificado:
https://www.myssl.cn/tools/check-server-cert.html
Si no hay certificados intermedios, certificado 2 mostrará "Error: el servidor no se encuentra certificado intermedio." Andrews requisitos del sistema para el certificado son más estrictas que el sistema de Apple, lo que no hay certificado intermedio, a continuación, los sistemas de Apple pueden ser, no funcionará en Android.
En segundo lugar, para generar un certificado intermedio
certificados intermedios se pueden crear en línea. En la siguiente página web se pegue el contenido del archivo abajo CRT, se puede descargar el certificado intermedio correspondiente:
https://www.myssl.cn/tools/downloadchain.html
En tercer lugar, el certificado intermedio para configurar el nginx
Aquí también la inspección de una gran cantidad de información, y finalmente vio este artículo:
https://www.jianshu.com/p/89252f8ba0f6
El contenido del certificado intermedio pegado directamente en el interior de archivos CRT, se puede añadir directamente editar el contenido original del archivo a continuación.
Después de eso, recarga nginx configuración, los teléfonos Android puede ser una visita normal!