在express.js上启用HTTPS
Ala*_*lan 359 https node.js express
我正在尝试让HTTPS在express.js上运行节点,我无法弄明白.
这是我的app.js代码.
var express = require('express');
var fs = require('fs');
var privateKey = fs.readFileSync('sslcert/server.key');
var certificate = fs.readFileSync('sslcert/server.crt');
var credentials = {key: privateKey, cert: certificate};
var app = express.createServer(credentials);
app.get('/', function(req,res) {
res.send('hello');
});
app.listen(8000);
当我运行它时,它似乎只响应HTTP请求.
我写了简单的node.js基于香草的HTTPS应用程序:
var fs = require("fs"),
http = require("https");
var privateKey = fs.readFileSync('sslcert/server.key').toString();
var certificate = fs.readFileSync('sslcert/server.crt').toString();
var credentials = {key: privateKey, cert: certificate};
var server = http.createServer(credentials,function (req, res) {
res.writeHead(200, {'Content-Type': 'text/plain'});
res.end('Hello World\n');
});
server.listen(8000);
当我运行这个应用程序时,它会响应HTTPS请求.请注意,我不认为fs上的toString()结果很重要,因为我已经使用了两者的组合而仍然没有es bueno.
编辑添加:
对于生产系统,您最好使用Nginx或HAProxy来代理对nodejs应用程序的请求.您可以设置nginx来处理ssl请求,只需向您的节点app.js说http.
编辑添加(4/6/2015)
对于使用AWS的系统,最好使用EC2 Elastic Load Balancers来处理SSL终止,并允许常规HTTP流量到您的EC2 Web服务器.为了提高安全性,设置您的安全组,使得只有ELB允许HTTP流量发送到EC2实例,这将阻止打你的机器外部的未加密的HTTP流量.
cod*_*me- 604
在express.js中(从版本3开始),您应该使用该语法:
var fs = require('fs');
var http = require('http');
var https = require('https');
var privateKey = fs.readFileSync('sslcert/server.key', 'utf8');
var certificate = fs.readFileSync('sslcert/server.crt', 'utf8');
var credentials = {key: privateKey, cert: certificate};
var express = require('express');
var app = express();
// your express configuration here
var httpServer = http.createServer(app);
var httpsServer = https.createServer(credentials, app);
httpServer.listen(8080);
httpsServer.listen(8443);
通过这种方式,您可以向本机http/https服务器提供快速中间件
如果您希望应用程序在1024以下的端口上运行,则需要使用sudo命令(不推荐)或使用反向代理(例如nginx,haproxy).
- 请注意,尽管443是HTTPS的默认端口,但在开发期间您可能希望使用类似8443的内容,因为大多数系统不允许在低编号端口上使用非根侦听器. (69认同)
- 如果您打算使用nginx进行反向代理,那么可以为您而不是节点处理ssl证书 (12认同)
- 表达4它不起作用,它适用于`localhost:80`但不适用于`https:// localhost:443` (4认同)
- 所有内容都写在这里:https://github.com/visionmedia/express/wiki/Migrating-from-2.x-to-3.x段落*应用功能* (2认同)
- 伙计,它就像魔术一样工作:)它也接受 .pem 文件,无论如何,它应该如此 (2认同)
Der*_*gar 30
首先,您需要创建selfsigned.key和selfsigned.crt文件.转到创建自签名SSL证书
转到终端并运行以下命令.
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout ./selfsigned.key -out selfsigned.crt
- 之后提出以下信息
- 国名(2个字母代码)[AU]:美国
- 州或省名(全名)[Some-State]:NY
- 地点名称(例如,城市)[]:NY
- 组织名称(例如公司)[Internet Widgits Pty Ltd]:xyz(您的 - 组织)
- 组织单位名称(例如,部分)[]:xyz(您的单位名称)
- 通用名称(例如服务器FQDN或您的名称)[]:www.xyz.com(您的URL)
- 电子邮件地址[]:您的电子邮件
创建后,在代码中添加key&cert文件,并将选项传递给服务器.
const express = require('express');
const https = require('https');
const fs = require('fs');
const port = 3000;
var key = fs.readFileSync(__dirname + '/../certs/selfsigned.key');
var cert = fs.readFileSync(__dirname + '/../certs/selfsigned.crt');
var options = {
key: key,
cert: cert
};
app = express()
app.get('/', (req, res) => {
res.send('Now using https..');
});
var server = https.createServer(options, app);
server.listen(port, () => {
console.log("server starting on port : " + port)
});
- 最后使用https运行您的应用程序.
- NET::ERR_CERT_AUTHORITY_INVALID (6认同)
- 除非必要,否则不应使用 sudo。我只是在没有使用 sudo 的情况下完成了这个过程,但我是以管理员身份登录到机器上的。 (3认同)
- 上面的代码在我的情况下有效,我遇到了“EACCES:权限被拒绝,打开'/etc/letsencrypt/live/domain.net/privkey.pem'”错误。我运行了 `sudo chown ubuntu -R /etc/letsencrypt ` 并且成功了。ubuntu 是用户名,您可以将其替换为用户名。 (2认同)
小智 25
我遇到了类似的问题,让SSL在端口443以外的端口上工作.在我的情况下,我有一个捆绑证书以及证书和密钥.捆绑证书是一个包含多个证书的文件,节点要求您将这些证书分解为数组的单独元素.
var express = require('express');
var https = require('https');
var fs = require('fs');
var options = {
ca: [fs.readFileSync(PATH_TO_BUNDLE_CERT_1), fs.readFileSync(PATH_TO_BUNDLE_CERT_2)],
cert: fs.readFileSync(PATH_TO_CERT),
key: fs.readFileSync(PATH_TO_KEY)
};
app = express()
app.get('/', function(req,res) {
res.send('hello');
});
var server = https.createServer(options, app);
server.listen(8001, function(){
console.log("server running at https://IP_ADDRESS:8001/")
});
在app.js中,您需要指定https并相应地创建服务器.此外,请确保您尝试使用的端口实际上允许入站流量.
Dra*_*ire 13
这个答案与 Setthase 非常相似,但它适用于LetsEncrypt (Ubuntu)
// Dependencies
const fs = require('fs');
const http = require('http');
const https = require('https');
const express = require('express');
const app = express();
// Certificate
const privateKey = fs.readFileSync('/etc/letsencrypt/live/yourdomain.com/privkey.pem', 'utf8');
const certificate = fs.readFileSync('/etc/letsencrypt/live/yourdomain.com/cert.pem', 'utf8');
const ca = fs.readFileSync('/etc/letsencrypt/live/yourdomain.com/chain.pem', 'utf8');
const credentials = {
key: privateKey,
cert: certificate,
ca: ca
};
app.use((req, res) => {
res.send('Hello there !');
});
// Starting both http & https servers
const httpServer = http.createServer(app);
const httpsServer = https.createServer(credentials, app);
httpServer.listen(80, () => {
console.log('HTTP Server running on port 80');
});
httpsServer.listen(443, () => {
console.log('HTTPS Server running on port 443');
});
您可能会遇到: EACCES:权限被拒绝,打开 '/etc/letsencrypt/live/yourdeomain.com/privkey.pem'
答案就在这里:让我们加密 SSL 无法启动“错误:EACCES:权限被拒绝,打开‘/etc/letsencrypt/live/domain.net/privkey.pem’”
对我有用的是 ubuntu ssh 终端中的 Get userwhoami
// Create group with root and nodeuser as members
$ sudo addgroup nodecert
$ sudo adduser ubuntu nodecert
$ sudo adduser root nodecert
// Make the relevant letsencrypt folders owned by said group.
$ sudo chgrp -R nodecert /etc/letsencrypt/live
$ sudo chgrp -R nodecert /etc/letsencrypt/archive
// Allow group to open relevant folders
$ sudo chmod -R 750 /etc/letsencrypt/live
$ sudo chmod -R 750 /etc/letsencrypt/archive
sudo reboot
Nis*_*ani 10
包括点数:
- SSL设置
- 在config/local.js中
- 在config/env/production.js中
HTTP和WS处理
- 该应用必须在开发中的HTTP上运行,以便我们可以轻松调试我们的应用.
- 出于安全考虑,应用必须在生产中运行HTTPS.
- 应用程序生产HTTP请求应始终重定向到https.
SSL配置
在Sailsjs中,有两种方法可以配置所有的东西,首先是在config文件夹中配置,每个都有自己独立的文件(比如关于设置的数据库连接位于connections.js中).第二个是在环境基础文件结构上配置,每个环境文件都存在于config/env文件夹中,每个文件包含特定环境的设置.
Sails首先查看config/env文件夹,然后期待config/*.js
现在让我们设置ssl config/local.js.
var local = {
port: process.env.PORT || 1337,
environment: process.env.NODE_ENV || 'development'
};
if (process.env.NODE_ENV == 'production') {
local.ssl = {
secureProtocol: 'SSLv23_method',
secureOptions: require('constants').SSL_OP_NO_SSLv3,
ca: require('fs').readFileSync(__dirname + '/path/to/ca.crt','ascii'),
key: require('fs').readFileSync(__dirname + '/path/to/jsbot.key','ascii'),
cert: require('fs').readFileSync(__dirname + '/path/to/jsbot.crt','ascii')
};
local.port = 443; // This port should be different than your default port
}
module.exports = local;
另外,您也可以在config/env/production.js中添加它.(此片段还显示了如何处理多个CARoot certi)
或者在production.js中
module.exports = {
port: 443,
ssl: {
secureProtocol: 'SSLv23_method',
secureOptions: require('constants').SSL_OP_NO_SSLv3,
ca: [
require('fs').readFileSync(__dirname + '/path/to/AddTrustExternalCARoot.crt', 'ascii'),
require('fs').readFileSync(__dirname + '/path/to/COMODORSAAddTrustCA.crt', 'ascii'),
require('fs').readFileSync(__dirname + '/path/to/COMODORSADomainValidationSecureServerCA.crt', 'ascii')
],
key: require('fs').readFileSync(__dirname + '/path/to/jsbot.key', 'ascii'),
cert: require('fs').readFileSync(__dirname + '/path/to/jsbot.crt', 'ascii')
}
};
http/https&ws/wss重定向
这里是Web Socket和wss代表Secure Web Socket,因为我们现在设置ssl http和ws两个请求变得安全并分别转换为https和wss.
我们的应用程序有很多来源会收到任何博客文章,社交媒体发布的请求,但我们的服务器只在https上运行所以当任何来自http的请求它在客户端浏览器中给出"此站点无法访问"错误.我们失去了网站流量.所以我们必须将http请求重定向到https,同样的规则允许websocket,否则socket将失败.
因此,我们需要在端口80(http)上运行相同的服务器,并将所有请求转移到端口443(https).在提升服务器之前,Sails首先编译config/bootstrap.js文件.在这里,我们可以在端口80上启动快速服务器.
在config/bootstrap.js中(创建http服务器并将所有请求重定向到https)
module.exports.bootstrap = function(cb) {
var express = require("express"),
app = express();
app.get('*', function(req, res) {
if (req.isSocket)
return res.redirect('wss://' + req.headers.host + req.url)
return res.redirect('https://' + req.headers.host + req.url)
}).listen(80);
cb();
};
现在您可以访问http://www.yourdomain.com,它将重定向到https://www.yourdomain.com
小智 9
这就是它对我的工作方式。使用的重定向也将重定向所有正常的 http。
const express = require('express');
const bodyParser = require('body-parser');
const path = require('path');
const http = require('http');
const app = express();
var request = require('request');
//For https
const https = require('https');
var fs = require('fs');
var options = {
key: fs.readFileSync('certificates/private.key'),
cert: fs.readFileSync('certificates/certificate.crt'),
ca: fs.readFileSync('certificates/ca_bundle.crt')
};
// API file for interacting with MongoDB
const api = require('./server/routes/api');
// Parsers
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({ extended: false }));
// Angular DIST output folder
app.use(express.static(path.join(__dirname, 'dist')));
// API location
app.use('/api', api);
// Send all other requests to the Angular app
app.get('*', (req, res) => {
res.sendFile(path.join(__dirname, 'dist/index.html'));
});
app.use(function(req,resp,next){
if (req.headers['x-forwarded-proto'] == 'http') {
return resp.redirect(301, 'https://' + req.headers.host + '/');
} else {
return next();
}
});
http.createServer(app).listen(80)
https.createServer(options, app).listen(443);
使用greenlock-express:免费SSL,自动HTTPS
Greenlock开箱即用地处理证书的发行和续签(通过Let's Encrypt)和http => https重定向。
express-app.js:
var express = require('express');
var app = express();
app.use('/', function (req, res) {
res.send({ msg: "Hello, Encrypted World!" })
});
// DO NOT DO app.listen()
// Instead export your app:
module.exports = app;
server.js:
require('greenlock-express').create({
// Let's Encrypt v2 is ACME draft 11
version: 'draft-11'
, server: 'https://acme-v02.api.letsencrypt.org/directory'
// You MUST change these to valid email and domains
, email: 'john.doe@example.com'
, approveDomains: [ 'example.com', 'www.example.com' ]
, agreeTos: true
, configDir: "/path/to/project/acme/"
, app: require('./express-app.j')
, communityMember: true // Get notified of important updates
, telemetry: true // Contribute telemetry data to the project
}).listen(80, 443);
截屏
观看QuickStart演示:https : //youtu.be/e8vaR4CEZ5s
对于本地主机
只是提前回答这个问题,因为这是一个常见的后续问题:
您不能在本地主机上拥有SSL证书。但是,您可以使用Telebit之类的工具,使您可以将本地应用程序作为真实应用程序运行。
您还可以通过DNS-01挑战将私有域与Greenlock一起使用,这在README中已提及,并提供了支持它的各种插件。
非标准端口(即80/443)
阅读以上有关localhost的注释-您也不能通过Let's Encrypt使用非标准端口。
但是,您可以通过端口转发,sni-route将内部非标准端口公开为外部标准端口,或者使用Telebit之类的东西为您执行SNI路由和端口转发/中继。
您还可以使用DNS-01挑战,在这种情况下,您根本不需要公开端口,也可以通过这种方式保护私有网络上的域。
- 更正:“您不能在本地主机上拥有*有效的* SSL 证书”。 (2认同)
| 归档时间: |
|
| 查看次数: |
319174 次 |
| 最近记录: |