mongoose 支持https踩坑纪实

简述

mongoose是C编写的嵌入式web服务，它能够支持https协议，可以简单的部署，但要做到完美部署，不是那么容易。

部署方法

本人使用的是最新的7.16版，以前版本似乎是要通过修改 头文件中的 MG_ENABLE_SSL 宏定义，将其值设置为 1 来开启 SSL 功能，这一版不是了。这一版要在 mongoose.h 头文件中将MG_TLS宏定义为如下六种中的一个。

#define MG_TLS_NONE 0     // No TLS support
#define MG_TLS_MBED 1     // mbedTLS
#define MG_TLS_OPENSSL 2  // OpenSSL
#define MG_TLS_WOLFSSL 5  // WolfSSL (based on OpenSSL)
#define MG_TLS_BUILTIN 3  // Built-in
#define MG_TLS_CUSTOM 4   // Custom implementation

#ifndef MG_TLS
#define MG_TLS MG_TLS_OPENSSL //我选择了OPENSSL
#endif

如果定义为MG_TLS_BUILTIN最简单，似乎是mongoose内置的TLS库，我最早就是用的它。它可以运行mongoose中的tutorials中的http示例了。也能够正确的加载它自签名的证书和私钥了。但很不幸，我在国内淘宝上购买的证书它不认，总是提醒不认识pks格式的证书。

所以我最终采用了MG_TLS_OPENSSL。这种方式需要装载OPENSSL库。我的方法是从OPENSSL网站下载完整的安装包，装完后，将其中的include目录考到工程里，然后指定该目录为工程的include目录（mongoose.h中采用#include <openssl/ssl.h>，所有必须置为工程的include目录）。然后将libcrypto.lib libssl.lib装载。我试了静态库，提示缺东西，我就没接着试，直接采用了引入动态lib库，并且将libcrypto-3-x64.dll，libssl-3-x64考到可执行目录下，结果编译成了。它也支持国内颁发的证书了。

程序的重要代码：

//事件处理函数：

// We use the same event handler function for HTTP and HTTPS connections
// fn_data is NULL for plain HTTP, and non-NULL for HTTPS
static void fn(struct mg_connection* c, int ev, void* ev_data) {
    if (ev == MG_EV_ACCEPT && c->fn_data != NULL) {//如果事件是https的链接接收事件
        struct mg_tls_opts opts;//最重要的tls配置参数
        memset(&opts, 0, sizeof(opts));
#ifdef TLS_TWOWAY//如果是双向的，只有银行那样的应用，才会验证客户端的证书，所以一般不要设ca（证书机构的证书）
        opts.ca = mg_str(s_tls_ca);
#endif
        opts.cert = mg_str(s_tls_cert);//服务器证书字符串，你要想办法从文件中装进来
        opts.key = mg_str(s_tls_key);//服务器私钥字符串，你要想办法从文件中装进来
        mg_tls_init(c, &opts); //初始化tls链接，即若干握手、交换证书等等标准操作
    }
    if (ev == MG_EV_HTTP_MSG) {
//接收到数据消息事件       

}
    }
}

//启动消息循环处理代码

struct mg_mgr mgr;                            // Event manager
mg_mgr_init(&mgr);                            // Initialise event manager
    mg_http_listen(&mgr, "http://0.0.0.0:80", fn, NULL);  // Create HTTP listener
    mg_http_listen(&mgr, "http://0.0.0.0:443", fn, (void*)1);  // Create HTTP listener
for (;;) mg_mgr_poll(&mgr, 1000);                    // Infinite event loop
mg_mgr_free(&mgr);

大坑

正常情况下，程序应该可以正常执行了，但大坑刚刚开始：由于我要将它作为微信小程序的后台，而微信小程序，要求网站的ssl评分要达到A级（使用https://myssl.com进行评估），而我的网站只有B级。

默认情况下是没有优先级的，所以需要#define MG_ENABLE_OPENSSL_CIPHER_SERVER_PREFERENCE宏

我放在了 mongoose.h 头文件大约2394行处

#if MG_TLS == MG_TLS_OPENSSL || MG_TLS == MG_TLS_WOLFSSL
#define MG_ENABLE_OPENSSL_CIPHER_SERVER_PREFERENCE
#include <openssl/err.h>
#include <openssl/ssl.h>

我在仔细分析了证书链后，发现mongoose默认根本没有向客户端发送证书链，struct mg_tls_opts中根本没有证书链的位置，最后我发现openssl本身提供了几个方法设置证书链，我挑了一个简单的函数SSL_use_certificate_chain_file(tls->ssl, "server_cert.pem"); 我把它加在了mg_tls_init函数中装载证书和私钥的代码下面，大约13172行处。结果就成了。

设置优先级