Apple 2017年1月1号起要求Appstore 上线的应用都必须使用 https 加密请求协议,在二月份又改为建议 从 http 升级为 https 协议,此为背景。

公司做的APP同时在App Store和安卓应用市场上了线。应要求,我们也将协议升级为https。由于自制https证书不能用于支付宝请求协议,故从阿里云购买的证书服务。升级为https之后碰到了诸多问题。

1.支付宝微信支付成功却收不到notify回调的情况。

支付notify_url 要求回调时 url 不得带任何参数,如果请求为 https 证书必须由认证机构发放,自制证书无效。

微信要求必须为80端口,那么回调请求就应该为http请求。

项目由nginx加tomcat搭建,部署在ECS Linux 上面。那么支付请求如下

1)APP发起支付请求——>

2)支付宝确认签名,如果正确则支付成功——>

3)支付宝给notify_url 发异步通知——>

4)服务器收到异步通知,确认订单状态,结束此次支付请求。

第一步是APP发起请求调用支付宝的接口然后支付宝确认签名验证成功后划款。

问题出在第三步,支付宝给请求支付时预先配好的notify_url 发送异步通知时出现了问题,服务器没有收到异步通知。ngnix 和 tomcat 日志均未显示 支付宝的异步通知请求。在这里可能出现收不到回调的情况有这几种可能:

1》请求协议的问题(http,https)有可能是证书配置出现问题,但是浏览器访问网站都加上了绿色的安全锁,这一点可以排除

2》服务器防火墙配置问题,ESC 的防火墙(iptables)是在阿里云的控制台配置的,在安全组规则公网配置里面,这个默认配置就可以了,不用做改动。

3》nginx 配置问题,nginx做代理服务器请求没有正确转发至后台。这一点我觉得可能性最大。有可能是配置问题导致支付宝回调失败。

首先验证一下配置好证书之后网站是否能够通过 https 校验

这里推荐一个强 https 校验网站,比浏览器校验更加严格

https://www.ssllabs.com/ssltest/

这是阿里建议的ssl配置证书

 # HTTPS server
# server {
# listen 443;
# server_name localhost;
# ssl on;
# ssl_certificate cert.pem;
# ssl_certificate_key cert.key;
# ssl_session_timeout 5m;
# ssl_protocols SSLv2 SSLv3 TLSv1;
# ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
# ssl_prefer_server_ciphers on;
# location / {
#
#
#}
#}

可以看到此配置只配置了 443 端口监听,443 端口为 https 的默认请求端口。这样的话微信支付回调肯定就收不到了。于是我将配置改为

# HTTPS server
# #server {
# listen 80;
# listen 443 ssl;
# server_name localhost; # ssl_certificate cert.pem;
# ssl_certificate_key cert.key;
# ssl_session_timeout 5m;
# ssl_protocols TLSv1.1 TLSv1.2;
# ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
# ssl_prefer_server_ciphers on;
# location / {
#
#
#}
#}

如上,这样nginx 就可以同时支持 http 和 https 请求了。保证微信可以正常支付,但是支付宝还是不行。

项目服务器支持两个项目的线上运营,nginx 采用的虚拟主机配置。也就是说同一台服务器共用https的证书。这个需要开启nginx 的sni服务。查看状态进入nginx安装目录下输入命令:

sbin/nginx -V

nginx version: nginx/1.6.2
  built by gcc 4.4.7 20120313 (Red Hat 4.4.7-17) (GCC)
  TLS SNI support enabled
  configure arguments: --prefix=/usr/local/webserver/nginx --with-openssl=/usr/local/openssl/openssl-1.0.1g/ --with-http_stub_status_module --with-htt p_ssl_module --with-pcre=/usr/local/tools/pcre/ --add-module=/usr/local/tools/packages/echo-nginx-module-0.60/

可以看到

TLS SNI support enabled

已经开启。如果没有开启,将 nginx 加入 openssl 重新 make && make install 。

然后这个时候在测试支付,微信可以正常支付并受到回调了。这样APP微信支付和公众号支付两条路就走通了。

剩下支付宝支付还是没有收到回调。于是我把支付宝回调调整为http请求在nginx中过滤,如果为 notify请求则重写为 http://notify_url,将项目打包到测试环境测试,果然成功了。剩下的就是将项目打包正式版本,更新了。

这次升级主要是 nginx 的证书配置和 http 和 https 的限制。遇到这样网络请求的问题,将请求全过程的从头到尾的过程多想几遍,再按照请求的流程一步一步排查问题。缩小问题的范围,问题就慢慢浮现出水面了。

从 http 升级到 https 过程中遇到的一些问题的更多相关文章

  1. 【Unity】近期整理Unity4.x 项目升级Unity5.0 过程中出现的各种常见问题,与大家共享。

    近期整理Unity4.x 项目升级Unity5.0 过程中出现的各种常见问题,与大家共享. 1:Unity4.x 项目中3D模型其材质丢失,成为"白模"?       解决方式:手 ...

  2. 网站如何从http升级成https

    基本概念: HTTP: 是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和应答的标准,用于从WWW服务器传输超文本到本地浏览器的传输协议,它可以使浏览器更加高效,使网络传输减少. HT ...

  3. Confluence 6 在升级过程中查看合并日志

    为了监控升级的过程,你应该查看 application log 日志中的输出. 通常日志经常将会显示多个日志实例,这个实例是定义在日志的 INFO 级别的,通常格式如下: WikiToXhtmlMig ...

  4. VMware虚拟机升级过程中遇到的一点问题

    在将VWware由9.0升级到10.0的过程中,出现如下图的错误:        failed to create the requested registry key Key:Installer e ...

  5. android recovery升级过程中掉电处理

    一般在升级过程,都会提示用户,请勿断电,不管是android的STB,TV还是PHONE,或者是其他的终端设备,升级过程,基本上都可以看到“正在升级,请勿断电”,然后有个进度条,显示升级的进度. 但是 ...

  6. Windows Server 2012升级R2过程中意外关闭恢复原系统方法

    2012升级R2过程中强制关闭了计算机,导致再次启动后蓝屏提示"BAD_SYSTEM_CONFIG_INFO".用2012安装盘进入尝试修复失败(安全模式什么的都不用想),进入命令 ...

  7. WDCP从php5.2升级到5.3的办法,以及升级过程中iconv错误的处理

    从wdcp官方论坛我们可以找到一个询问升级的帖子,然后管理员在回复中也提供了升级方法: cd /tmp wget -c http://dl.wdlinux.cn:5180/soft/php-5.3.1 ...

  8. 解决https 请求过程中SSL问题

    最近一个项目中用到了https的请求,在实际调用过程中发现之前的http方法不支持https,调用一直报错. 查询了一下,添加几行代码解决问题. public string HttpPost(stri ...

  9. office web apps安装部署,配置https,负载均衡(七)配置过程中遇到的问题详细解答

    该篇文章,是这个系列文章的最后一篇文章,该篇文章将详细解答owa在安装过程中常见的问题. 如果您没有搭建好office web apps,您可以查看前面的一系列文章,查看具体步骤: office we ...

随机推荐

  1. IM 融云 之 通讯能力库API

    参考:http://www.rongcloud.cn/docs/api/ios/imlib/Classes/RCConversation.html 0. 使用说明 使用该文档注意,每个蓝色标题点击后, ...

  2. UVa 10148 - Advertisement

    题目大意:有一些广告牌,为了使跑步者看到固定数量的广告,设计所需租用的最少数量的广告牌. 其实就是区间选点问题:数轴上有n个区间[ai, bi],取尽量少的点,使得每一个区间都至少有一个点.首先对区间 ...

  3. 为mysql 表重新设置自增的主键id

    1,删除原有主键: ALTER TABLE `table_name` DROP `id`; 2,添加新主键字段: ALTER TABLE `table_name` ADD `id` INT NOT N ...

  4. cocharan-Armitage trend test

    Cochran-Armitage trend test是我们常说的趋势卡方检验,一般是针对基因型的2*3列联表的.譬如说三种基因型,如果按照某一个allele来看,可以有0.1.2个拷贝,是有序的,我 ...

  5. C# Unity游戏开发——Excel中的数据是如何到游戏中的 (二)

    本帖是延续的:C# Unity游戏开发——Excel中的数据是如何到游戏中的 (一) 上个帖子主要是讲了如何读取Excel,本帖主要是讲述读取的Excel数据是如何序列化成二进制的,考虑到现在在手游中 ...

  6. Eclipse插件手动安装

    拷贝至eclipse安装目录/dropins/文件夹下面: 不建议直接拷贝到features/ 和plugins/ 里面:

  7. 在Windows下开发Node.js的C/C++原生扩展

    准备工作 (1)本机系统说明:本人机器为win7 64位,32位也可以. (2)软件安装: VISUAL C++ 2010 EXPRESS(Visual Studio 2010也可以): window ...

  8. easyUI tootip组件使用

    easyUI tootip组件使用: <!DOCTYPE html> <html lang="en"> <head> <meta char ...

  9. log4j.rootLogger详细说明

    http://blog.csdn.net/anlina_1984/article/details/5313023

  10. ConcurrentHashMap原理

    转载地址:http://www.blogjava.net/xylz/archive/2010/07/20/326661.html 在上一篇中介绍了HashMap的原理,这一节是ConcurrentMa ...