给企业微信机器人做回调服务时,Nginx 反向代理必须配置公网可信的 SSL 证书,自签名证书无法通过企业微信的 HTTPS 校验。
先说结论:生产环境必须使用公网 CA 签发的证书,Nginx 负责终止 TLS 连接并将请求转发给内网服务。
- 适合:企业微信回调地址配置、对外暴露的机器人 webhook 服务。
- 先准备:已备案域名(国内服务器)、有效的 SSL 证书文件、Nginx 环境。
- 验收:通过 curl 验证 HTTPS 连通性,并在企业微信后台保存配置成功。
命令速用版
server {listen 443 ssl;server_name your-domain.com;ssl_certificate /path/to/fullchain.pem;ssl_certificate_key /path/to/privkey.pem;location / {proxy_pass http://127.0.0.1:8080;proxy_set_header Host $host;proxy_set_header X-Real-IP $remote_addr;}
}为什么会这样
企业微信为了保障数据传输安全,强制要求回调 URL 必须使用 HTTPS 协议。如果使用 HTTP 或自签名证书,企业微信服务器在发起请求时会验证失败,导致无法接收消息或事件推送。Nginx 作为反向代理,负责处理 SSL 握手,将解密后的 HTTP 请求转发给后端应用,这样后端服务无需关心证书细节。
分步处理
1. 获取证书:推荐使用 Let's Encrypt 或云厂商提供的免费证书,确保域名所有权验证通过。
2. 上传证书:将 crt/pem 和 key 文件上传至服务器,注意权限设置,key 文件仅 root 可读。
3. 修改配置:在 Nginx 配置文件中添加 SSL 相关指令,指向证书路径。
4. 重载服务:执行 nginx -t 检查配置语法,确认无误后执行 nginx -s reload。
怎么验证是否生效
使用 curl 命令测试:curl -I https://your-domain.com,返回状态码 200 且显示 SSL 握手成功。在企业微信管理后台填写回调 URL,若能保存且不报错,说明配置生效。
常见坑
1. 证书链不完整:只配置了域名证书未配置中间证书,会导致部分客户端验证失败。
2. 域名不一致:证书绑定的域名与企业微信后台填写的回调域名必须完全一致。
3. 防火墙拦截:确保服务器安全组已放行 443 端口,否则企业微信无法访问。
参考来源
- Nginx 官方文档 - Configuring HTTPS servers - https://nginx.org/en/docs/http/configuring_https_servers.html
- 企业微信开发文档 - 接收事件推送 - https://developer.work.weixin.qq.com/document/path/90930
原文链接:https://www.zjcp.cc/ask/10757.html