ESP32 Arduino HTTPS客户端示例中的根证书更新指南

背景介绍

在ESP32 Arduino开发环境中，BasicHttpsClient示例程序是一个展示如何通过HTTPS协议与远程服务器建立安全连接的典型示例。该示例使用了一个预置的根证书来验证jigsaw.w3.org服务器的身份。然而，随着数字证书的更新周期，原有的根证书已经过期，导致连接验证失败。

问题分析

原示例中使用的Baltimore CyberTrust根证书已于2025年5月12日到期。当开发者尝试运行该示例时，会遇到"Certificate verification failed"错误，这表明SSL/TLS握手过程中证书验证失败。

通过OpenSSL工具分析当前有效的证书链，可以获取到jigsaw.w3.org服务器现在使用的有效根证书。新证书由Google Trust Services签发，有效期至2028年1月28日。

解决方案

更新BasicHttpsClient示例中的根证书内容为以下有效证书：

const char *rootCACertificate = R"string_literal(
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
)string_literal";

实现细节

1. 证书格式：新证书使用了R"string_literal"原始字符串语法，避免了手动处理换行符和转义字符的麻烦。

2. 证书验证原理：ESP32的NetworkClientSecure库会使用提供的根证书来验证服务器证书的签名链。只有当服务器证书由受信任的根证书机构签发时，连接才会被建立。

3. 时间同步：示例中包含了NTP时间同步代码，这是必要的，因为证书验证过程会检查当前时间是否在证书的有效期内。

测试验证

更新后的证书已在ESP32 Dev Kit V1开发板上通过以下步骤验证：

1. 连接到WiFi网络
2. 同步NTP时间
3. 成功建立到jigsaw.w3.org的HTTPS连接
4. 获取并显示服务器响应内容

最佳实践建议

1. 定期检查证书有效期：建议开发者定期检查示例中使用的证书是否仍然有效。

2. 证书自动更新机制：对于生产环境应用，可以考虑实现证书自动更新机制，而不是硬编码在代码中。

3. 多证书支持：对于需要连接多个服务器的应用，可以维护一个证书库，根据连接的服务器动态选择合适的证书。

4. 错误处理：完善错误处理逻辑，当证书验证失败时提供有意义的错误信息，方便问题诊断。

通过这次更新，ESP32 Arduino的HTTPS客户端示例恢复了正常功能，开发者可以继续使用它作为学习HTTPS通信和安全认证的基础示例。