那些遇到过的问题

为Express和Nginx配置HTTPS

Gui*_*ume 12 javascript ssl https nginx node.js

我正在尝试配置我的ExpressJS应用程序以进行https连接.Express服务器运行在localhost:8080和安全的localhost:8443.

这是与https相关的server.js代码:

var app = express();

var https = require('https');

const options = {
    cert: fs.readFileSync('/etc/letsencrypt/live/fire.mydomain.me/fullchain.pem'),
    key: fs.readFileSync('/etc/letsencrypt/live/fire.mydomain.me/privkey.pem')
};

app.listen(8080, console.log("Server running"));
https.createServer(options, app).listen(8443, console.log("Secure server running on port 8443"));
Run Code Online (Sandbox Code Playgroud)

这是我的Nginx配置:

server {
    listen 80;
    listen [::]:80;
    server_name fire.mydomain.me;

    location / {
        proxy_pass http://localhost:8080;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection 'upgrade';
        proxy_set_header Host $host;
        proxy_cache_bypass $http_upgrade;
    }
}

server {
    listen 443;
    listen [::]:443;
    server_name fire.mydomain.me;
    location / {
        proxy_pass https://localhost:8443;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection 'upgrade';
        proxy_set_header Host $host;
        proxy_cache_bypass $http_upgrade;
    }
}
Run Code Online (Sandbox Code Playgroud)

我做了什么 :

  • 使用针对域fire.mydomain.me的Letsencrypt certonly工具生成SSL证书.
  • 配置nginx.
  • 配置server.js节点应用程序.
  • 在Ufw中为443端口添加TCP规则.

我试过了

  • 在server.js中注释not-ssl服务器行以强制连接通过ssl配置:当我尝试访问fire.mydomain.me:443而不是"https:// fire.mydomain"时,这会为页面提供服务.我".在这两种情况下,都没有SSL.尝试访问https:// fire.mydomain.me会在Google Chrome中生成此消息"此网站无法提供安全连接".

  • 我首先按照本教程设置我的ssl节点配置:https: //medium.com/@yash.kulshrestha/using-lets-encrypt-with-express-e069c7abe625#.93jgjlgsc

rsp*_*rsp 29

您不需要在nginx反向代理和在同一主机上运行的Node应用程序之间使用HTTPS.您可以将端口80的HTTP请求和端口443的HTTPS请求代理到Node应用程序中的同一端口 - 在这种情况下为8080 - 在这种情况下您不需要配置TLS证书.

您可以将server.js文件更改为:

var app = express();

app.listen(8080, console.log("Server running"));
Run Code Online (Sandbox Code Playgroud)

并使用nginx配置,proxy_pass http://localhost:8080;端口80上的HTTP和端口443上的HTTPS.

这就是通常的做法.加密环回接口上的流量不会增加任何安全性,因为要嗅探您需要root访问该框的流量,当您拥有它时,您可以读取证书并解密流量.考虑到https://nodejs.org/en/blog/vulnerability/上的大多数帖子都与OpenSSL有关,可以说在Node中使用SSL可以降低加密环回接口流量的特殊情况下的安全性.有关详细信息,请参阅GitHub上Node项目的讨论.

Gui*_*ume 12

感谢@rsp解决方案,这是工作的Nginx配置:

server {
listen 80;
listen 443 ssl;

server_name fire.mydomain.me;

ssl_certificate     /etc/letsencrypt/live/fire.mydomain.me/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/fire.mydomain.me/privkey.pem;

location / {
    proxy_pass http://localhost:8080;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection 'upgrade';
    proxy_set_header Host $host;
    proxy_cache_bypass $http_upgrade;
   }
}
Run Code Online (Sandbox Code Playgroud)

  • 这是否意味着数据在到达节点应用程序之前已经被解密?如果我的 http 流量已经重定向到 https,即`if ($scheme != "https")`,我还需要所有 http_upgrade 标头内容吗? (3认同)

归档时间:

查看次数:

11141 次

最近记录:

8 年,11 月 前
相关归档
如何有效地计算JavaScript中对象的键/属性数? 1452
访问for-of循环内的ES6数组元素索引 194
在表达多个回调如何在app.get中工作 13
在Raspberry pi上运行meteor(ARM6) 11
带有SSL的Java JMX客户端 9
使用docker-compose和https时如何让Visual Studio启动正确的URL 7
Jarsigner(MIME 内容类型不是应用程序/时间戳回复) 5
在HTTPS中设计confirmation_url 3
拒绝所有不阻止返回重定向 3
请求被中止:无法创建 SSL/TLS 安全通道。| 系统.Net.WebException 1
难疑归档
Python有三元条件运算符吗? 5591
Python有一个字符串'contains'子串方法吗? 3601
如何制作一个很好的R可重复的例子 2474
一次捕获多个异常? 2015
在PostgreSQL中显示表格 1703
在JavaScript中生成两个数字之间的随机数 1635
检索HTML元素的位置(X,Y) 1418
用64位替换32位循环计数器会引入疯狂的性能偏差 1370
为PHP密码保护哈希和盐 1142
简单的面试问题变得更难:给出数字1..100,找到丢失的数字 1115