dag*_*da1 3 ssl node.js mkcert
我正在使用mkcert为本地主机生成自签名证书。
mkcert -install
mkcert localhost
这对于浏览器来说效果很好,但是如果我尝试从节点获取数据,则会收到以下错误:
FetchError:请求 https://localhost:52882/ 失败,原因:无法验证第一个证书
我认为这是因为 mkcert 没有创建完整的链。
我已经通过使用环境变量解决了这个问题NODE_EXTRA_CA_CERTS。
NODE_EXTRA_CA_CERTS="$(mkcert -CAROOT)/rootCA.pem"
我知道有process.env.NODE_TLS_REJECT_UNAUTHORIZED = "0";核方法,但我很想知道如果没有这些方法如何解决这个问题。
它工作得很好。您拥有自己的证书颁发机构 (CA),并且该机构localhost直接颁发证书。没有使用中间证书颁发机构,因此假设mkcert is not creating the full chain不正确。
CA 证书必须在您的计算机上可用,并且您需要定义哪些 CA 证书值得信赖。NODE_EXTRA_CA_CERTS正是该配置,您可以在其中允许特定的 CA 证书文件。
当然,您可以将此自定义 CA 证书添加到系统 CA 证书存储中。它们的位置取决于所使用的操作系统,例如:
"/etc/ssl/certs/ca-certificates.crt", // Debian/Ubuntu/Gentoo etc.
"/etc/pki/tls/certs/ca-bundle.crt", // Fedora/RHEL 6
"/etc/ssl/ca-bundle.pem", // OpenSUSE
"/etc/pki/tls/cacert.pem", // OpenELEC
"/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem", // CentOS/RHEL 7
"/etc/ssl/cert.pem", // Alpine Linux
这应该由 来完成mkcert -install。
我的猜测是您的节点没有使用系统 CA 存储(env 变量NODE_OPTIONS=--use-openssl-ca),因此只有节点自己的 CA 证书(例如https://github.com/nodejs/node/blob/v14.0.0/src/node_root_certs.h)对于节点来说是值得信赖的。
您可以选择使用系统 CA 证书存储(环境变量NODE_OPTIONS=--use-openssl-ca或节点 CLI 参数),也可以像您一样--use-openssl-ca允许使用环境变量的自定义 CA。NODE_EXTRA_CA_CERTS
| 归档时间: |
|
| 查看次数: |
4231 次 |
| 最近记录: |