Node.Js TLS(SSL) HTTPS双向验证

最新推荐文章于 2023-06-25 21:35:58 发布
最新推荐文章于 2023-06-25 21:35:58 发布
阅读量1.2w 收藏 10
点赞数 4
分类专栏: Node.Js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/marujunyy/article/details/8477854
版权

考虑到数据传输的安全及保密,决定采用TLS(SSL)协议,既节省了设计安全协议的时间,也容易与外部系统协同工作。作为工业标准的TLS(SSL)协议已经有许多成熟的解决方案,故不打算自行开发,而是使用开源社区中广泛使用的OpenSSL。

由于TLS(SSL)是基于非对称的加密体系,所以在开发前需要准备用于加密解密及验证的私钥及数字证书。这里分别为CA、服务器、客户端分别准备1套密钥及证书。

CA机构的数字证书是整个TLS(SSL)协议的根证书,用于给服务器及客户端证书签名及验证其真伪。由于不作商业用途,不打算使用权威CA机构的数字证书,而且是使用自签名的CA证书。生成方法如下:

    openssl genrsa -out ca-key.pem -des 1024
    openssl req -new -key ca-key.pem -out ca-csr.pem
    openssl x509 -req -days 3650 -in ca-csr.pem -signkey ca-key.pem -out ca-cert.pem

执行上述3个命令之后,得到3个文件,其中“ca-key.pem”为CA的私钥,“ca-cert.pem”为CA的自签名证书。有了CA证书和私钥之后就可以使用它来签发服务器及客户端的证书了。如果想查看生成证书的详细信息,可以使用以下命令查看:

openssl x509 -noout -text -in ca-cert.pem

在TLS(SSL)协议中,客户端在与服务器连接时,除需要使用CA证书来验证服务器证书的真伪之外,还需要验证服务器证书是否与服务器域名或IP地址相匹配。但由于服务器可能有多个IP地址及多个DNS服务器,所以在生成证书前需要对其进行设置,这里将设置写入一个文件中,方便之后生成证书的工作,配置内容文件如下:

[req]
    distinguished_name = req_distinguished_name
    req_extensions = v3_req

    [req_distinguished_name]
    countryName = Country Name (2 letter code)
    countryName_default = CN
    stateOrProvinceName = State or Province Name (full name)
    stateOrProvinceName_default = BeiJing
    localityName = Locality Name (eg, city)
    localityName_default = YaYunCun
    organizationalUnitName	= Organizational Unit Name (eg, section)
    organizationalUnitName_default	= Domain Control Validated
    commonName = Internet Widgits Ltd
    commonName_max	= 64

    [ v3_req ]
    # Extensions to add to a certificate request
    basicConstraints = CA:FALSE
    keyUsage = nonRepudiation, digitalSignature, keyEncipherment
    subjectAltName = @alt_names

    [alt_names]
    DNS.1 = ns1.dns.com
    DNS.2 = ns2.dns.com
    DNS.3 = ns3.dns.com
    IP.1 = 192.168.1.84
    IP.2 = 127.0.0.1
    IP.3 = 127.0.0.2
“req_distinguished_name”部分的内容就是证书的主体内容,包括证书持有者的相关信息。重点是“alt_name”部分的内容,其中的“DNS.1”所指定的是使用该证书的主机所使用的DNS,还有“IP.1”所指定的是使用该证书的主机的IP地址,这里可以指定多个DNS和IP,方便有多DNS和多IP的主机能够使用同一个该证书来完成验证。

假设上述配置文件为“openssl.cnf”,则生成服务器私钥及证书的方法如下:

openssl genrsa -out server-key.pem 1024
openssl req -new -key server-key.pem -config openssl.cnf -out server-csr.pem
openssl x509 -req -days 730 -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -in server-csr.pem -out server-cert.pem -extensions v3_req -extfile openssl.cnf

如果查看刚才生成的服务器证书,可以看到设置的DNS及IP信息。还可以将服务器私钥、证书以及CA证书打包成一个单独的.pfx或.p12文件:

openssl pkcs12 -export -in server-cert.pem -inkey server-key.pem -certfile ca-cert.pem -out server.pfx
openssl pkcs12 -export -in client-cert.pem -inkey client-key.pem -certfile ca-cert.pem -out client.p12

这样携带和使用都更加方便。最后就是生成客户端证书: 

openssl genrsa -out client-key.pem
openssl req -new -key client-key.pem -out client-csr.pem
openssl x509 -req -days 365 -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -in client-csr.pem -out client-cert.pem

上面所生成的证书中,CA证书的有效期是10年,服务器证书有效期是2年,客户端证书有效期是1年。


测试: 

openssl s_client -connect 127.0.0.1:8000 -cert client-cert.pem -key client-key.pem -tls1 -CAfile ca-cert.pem -state -showcerts

TLS(SSL)方式


tls服务器程序: 

var tls = require('tls');
    var fs = require('fs');

    var options = {
        key: fs.readFileSync('../key/server-key.pem'),
        cert: fs.readFileSync('../key/server-cert.pem'),

        // This is necessary only if using the client certificate authentication.
        requestCert: true,

        rejectUnauthorized: true,
//    passphrase:'test',
        // This is necessary only if the client uses the self-signed certificate.
        ca: [ fs.readFileSync('../key/ca-cert.pem') ]
        };

    var server = tls.createServer(options, function(cleartextStream) {
        console.log('server connected',
            cleartextStream.authorized ? 'authorized' : 'unauthorized');
        cleartextStream.write('this message is come from server!');
        cleartextStream.setEncoding('utf8');
        cleartextStream.pipe(cleartextStream);
        cleartextStream.on('data', function(data) {
        console.log(data);
        });
    });
    server.listen(8000, function() {
        console.log('server bound');
        });

tls客户端程序: 

var tls = require('tls');
    var fs = require('fs');

    var options = {
        // These are necessary only if using the client certificate authentication
        key: fs.readFileSync('../key/client-key.pem'),
        cert: fs.readFileSync('../key/client-cert.pem'),

        rejectUnauthorized: true,
        // This is necessary only if the server uses the self-signed certificate
        ca: [ fs.readFileSync('../key/ca-cert.pem') ]
        };

    var cleartextStream = tls.connect(8000, '127.0.0.1', options, function() {
        console.log('client connected',
            cleartextStream.authorized ? 'authorized' : 'unauthorized');
        cleartextStream.setEncoding('utf8');
        if(!cleartextStream.authorized){
        console.log('cert auth error: ', cleartextStream.authorizationError);
        }
    //    console.log(cleartextStream.getPeerCertificate());
    });
    cleartextStream.setEncoding('utf8');
    cleartextStream.on('data', function(data) {
        console.log(data);
        cleartextStream.write('Hello,this message is come from client!');
        cleartextStream.end();
        });
    cleartextStream.on('end', function() {
        console.log('disconnected');
        });
    cleartextStream.on('error', function(exception) {
        console.log(exception);
        });

先运行服务器,再运行客户端,就可以看到相互发送的信息对方的控制台上显示出来,表明连接成功。由于服务器和客户端程序中都指定了“rejectUnauthorized: true”,即如果证书验证失败则拒绝连接。所以如果服务器能收到客户端的信息,而客户端又能收到服务器的信息,则表明双向验证成功。

使用https方式

https服务器端程序(express.js):

var express = require('express')
    ,fs=require('fs');

    var options = {
        key: fs.readFileSync('../key/server-key.pem'),
        cert: fs.readFileSync('../key/server-cert.pem'),
        ca: [ fs.readFileSync('../key/ca-cert.pem') ],
        requestCert:        true,
        rejectUnauthorized: false
        };
    var app = module.exports = express.createServer(options);

    // Configuration

    app.configure(function(){
        app.use(app.router);
        });

    app.configure('development', function(){
        app.use(express.errorHandler({ dumpExceptions: true, showStack: true }));
    });

    app.configure('production', function(){
        app.use(express.errorHandler());
        });

    // Routes

    app.all('/', function(req, res){
        if (req.client.authorized) {
        res.writeHead(200, {"Content-Type":"application/json"});
    res.end('{"status":"authorized"}');
    //        console.log(req.client);
    console.log("Authorized Client ", req.client.socket.remoteAddress);
    } else {
        res.writeHead(401, {"Content-Type":"application/json"});
    res.end('{"status":"denied"}');
    console.log("Denied Client " , req.client.socket.remoteAddress);
    }
    });
    app.listen(5558);
    console.log("Express server listening on port %d in %s mode", app.address().port, app.settings.env);


    //curl -v -s -k --key key/client-key.pem --cert key/client-cert.pem https://localhost:5558

参考:http://www.hacksparrow.com/express-js-https-server-client-example.html


https客户端程序:(client.js) 
var https = require('https');
    var fs = require('fs');

    var options = {
        host: '192.168.1.84',
        port: 5558,
        path: '/',
        method: 'GET',
        // These are necessary only if using the client certificate authentication
        key: fs.readFileSync('../key/client-key.pem'),
        cert: fs.readFileSync('../key/client-cert.pem'),

        rejectUnauthorized: true,
        // This is necessary only if the server uses the self-signed certificate
        ca: [ fs.readFileSync('../key/ca-cert.pem') ],
        agent: false
        };
    var req = https.request(options, function(res) {
        console.log('server authorize status: '+res.connection.authorized);
        res.on('data', function(d) {
        console.log('client authorize status: '+ d);
        });
    });
    req.end();
    req.on('error', function(e) {
        console.error(e);
        });
注意:agent: false   这个属性一定要加上,不然证书不起作用

混沌极致
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
nodejs Https 代理(自签证书)
DaTou1126的博客
01-16 781
1.产生证书 生成一个文件名字:v3.ext authorityKeyIdentifier=keyid,issuer basicConstraints=CA:FALSE keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment subjectAltName = @...
nodejs-ssl-example:io.jsnode.js零配置HTTPS服务器示例(包含伪造的TLSSSL 2048位RSA证书)
04-06
HTTPS 2048位RSA TLS / SSL证书示例 这是针对使用io.js / node.js的人员的,但是就生成和测试证书而言,这些是与您在任何语言中都使用过的openssl命令完全相同的命令。 ScreenCast 参见 请参阅的完整文章。 零配置...
完美解决node.js中使用https请求报CERT_UNTRUSTED的问题
11-29
只要调用了没有受信的https就会报错:CERT_UNTRUSTED 简单的解决方法就是设置环境变量回避非授信证书的问题。 只要在请求的代码之前加上如下代码即可: process.env.NODE_TLS_REJECT_UNAUTHORIZED = “0”; 结束!!! 以上就是小编为大家带来的完美解决node.js中使用https请求报CERT_UNTRUSTED的问题全部内容了,希望大家多多支持软件开发网~
tls.js:node.jsTLS 协议实现
06-26
TLS.js JavaScript 中的 TLS 协议实现。 安装 npm install tls . js 用法 var tls = require ( 'tls.js' ) ; tls . createHTTPServer ( { key : fs . readFileSync ( __dirname + '/test/keys/key.pem' ) , cert : fs . readFileSync ( __dirname + '/test/keys/cert.pem' ) , ciphers : [ 'TLS_RSA_WITH_AES_256_CBC_SHA' ] , } , function ( res , res ) { res . end ( 'hello world!' ) ; } ) . listen ( 1443 , function
windows.redis.tls.ssl-7.0.0.rar编译安装
08-17
win10下cygwin编译的redis tls 7.0.0版本编译安装
【小沐学前端】Node.js搭建HTTPS 服务器
最新发布
爱看书的小沐
06-25 2415
HTTPS是什么?HTTPS是基于TLS/SSL的HTTP协议。HTTPS (全称:Hypertext Transfer Protocol Secure),是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。HTTPS 在HTTP 的基础下加入SSLHTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSLHTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层(在 HTTP与 TCP 之间)。这个系统提供了身份验证与加密通讯方法。
Node.js搭建Https服务
qq_45472813的博客
03-24 4141
Node.js中搭建Https服务不难,Node.js已经为我们提供了Https模块可以快捷的完成搭建。Https服务实际中仅会使用到线上环境,如果本地环境也需要,我们也可以使用openSSL工具生成一个证书。
Node.js实现双向证书认证(USBKey认证)
Rumor Legend
01-08 9015
一、双向证书认证原理 普通的http协议可以通过用户名+口令的方式通过认证,用户名和口令是用post或者get方法发送过去的,而且是明文发送。也就是说,随便从网络上一抓包就能获取你的用户名和密码。解决方案是,使用javascript将用户名和口令经过MD5混淆后发送,只发送MD5值,但这不是本文要讨论的话题。 另一种更为有效的解决方法是https,也就是安全的http。采用https的服务器必
iOS + Nodejs SSL/Https双向认证
Care iOS技术团队
08-11 2947
移动互联网的大力发展,安全越来越重要。什么是双向认证呢?双向认证就是客户端要验证服务器的合法性,同时服务器也要验证客户端的合法性。这样双方都相互验证,提高安全性。 关于SSL的原理我也不表了,因为google一下,有一大堆原理介绍。 本人花时间做了一个iOS + NodeJS SSL/Https双向认证功能。需要的朋友可以到这儿获取。 本团队提供强有力的售后技术支持,如您需
SSL证书怎么配置到Node.js上?安装教程
SSL加密技术
06-24 1410
Node.js是一个开源、跨平台的 JavaScript 运行时环境,可以在浏览器之外执行JavaScript代码,也是需要SSL证书来保障它的安全的。那么,SSL证书怎么配置到Node.js上? 如果要在 Node.js 上安装 SSL 证书,需要执行三个基本步骤。 一、购买并下载SSL证书 第一步是需要在沃通CA选择一款合适的SSL证书类型进行申请,申请成功之后会收到一封电子邮件,其中包含中级证书、根证书、CA捆绑文件,将这些文件下载下来并保存。 二、创建’https_server.js’文件并
node.js配置ssl免费证书
weixin_45481145的博客
06-17 2079
申请的域名,用自带的免费SSL证书使用在node.js项目
minimum-tls-version:允许您轻松指定 node.js 和 io.js 的最小 TLSSSL 版本
06-15
最低 TLS 版本允许您轻松地为 node.js 和 io.js 指定 TLS/SSL 版本。 所有早于最低版本的 TLS/SSL 版本都将被禁用。 TLS/SSL 版本的完整列表如下。用法只需加载模块: var minimumTLSVersion = require('minimum-tls...
C# TLS SSL TCP双向认证 X509Store SslStream Certificate
09-25
C# TLS SSL TCP双向认证 X509Store SslStream Certificate Visual Studio 2017 命令提示 键入: makecert -r -pe -n “CN=TestServer” -ss Root -sky exchange 等待来自客户端的连接... 显示安全等级 密钥套件: Aes...
JAVA实现的SSL/TLS双向认证源代码
02-02
压缩包里有客户端源码和服务器端源码,支持TCP的双向认证,也支持WEBSOCKET的双向认证,内附测试 wss的测试例子, 需要生成PKCS12的证书,导入浏览器才可以测试。
koa-sslify:在node.js koa应用中实施HTTPS
02-03
为Koa.js实施HTTPS中间件 中间件可对任何传入请求强制实施HTTPS连接。 在未加密的HTTP请求的情况下,koa-sslify使用301 permanent redirect (或可选地307 Temporary Redirect )自动重定向到HTTPS地址。 Koa ...
Node.js 实战
01-12
Node.js是一个非常具有极客精神的技术社区(我更想强调它本身代表的是一个社区,相比之前的一些大语言分支 c/c++/java什么的,那些大语言在针对某一些应用都有很固定的范式去遵循,javascript/node.js还是一个比较...
node-gelf-pro:适用于Node.js的Graylog2客户端库
05-01
Node-gelf专业版node-gelf-Node.js的Graylog2客户端库。 专业版-基于代码质量(在2015年)。... UDP(带通缩和分块) 输入: GELF UDP TCP协议输入: GELF TCP (带Null frame delimiter ) 通过TLSSSL)的TC
learn-tls:仅用于我使用 Node.js 学习 TLS
06-09
学习-tls 仅用于我使用 Node.js 学习 TLS 注意:这与正确的实现相去甚远,您无法使用它。
使用NestJS和GraphQL的Node.js服务
04-11
在带有数据缓存,JWT身份验证TLS和其他有用功能的NestJS框架下使用GraphQL
Node.js 15.11.0对比Node.js 12.18.3
04-03
2. ES模块支持:Node.js 15.11.0支持ES模块,这是一种新的JavaScript模块系统,可以更好地组织和管理代码。Node.js 12.18.3只支持CommonJS模块系统。 3. npm版本:Node.js 15.11.0附带npm 7.5.2,而Node.js 12.18.3...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值