SSL/TLS在NODEJS中的应用

最新推荐文章于 2022-11-29 17:21:43 发布
最新推荐文章于 2022-11-29 17:21:43 发布
阅读量272 收藏
点赞数
文章标签: javascript 操作系统 java ViewUI
原文链接:http://www.cnblogs.com/LevinJ/archive/2012/05/16/2503586.html
版权

1         前言

前段时间比较系统地研究了SSL/TLS协议,并把它成功应用于一个系统原型中,实现了安全的互联网通信。

在系统原型中,Client端为各种常用Browser, 包括Chrome, Firefox, IE, Safari及android,ios的内置webview. Server端用NODEJS实现。

2         SSL/TLS协议简介

SSL 是Secure Socket Layer的缩写,TLS是Transport Layer Security的缩写, TLS是SSL的扩展,是用来取代SSL的。在普通的网络通信中加入TLS握手协议,可达到以下三个目的:

1)      消息加密与解密

消息加密后,第三方无法偷听

2)      消息完整性检查

消息加入hash码,防止被第三方篡改

3)      消息到达Intended目的地

握手时,会通过Certificate验明身份,防止第三方假冒目的地

 

在一个典型的TLS应用中,Client端的身份是不需要验证的,它一般通过密码机制实现。Server端身份则由第三方(Certificate Authority)提供的Certificate验证。TLS协议握手的步骤如下(简化版本):

1)      ClientHello: Client向Server端发送Hello消息,启动握手。Hello消息包含自己有支持的SSL/TL版本,加解密算法及Key size.

2)      ServerHello: Server端选择匹配的SSL/TLS版本,加解密算法,并把这些信息返回给Client端

3)      Certificate: Server端发送自己的Certificate给Client。Certificate中包含Server的public key, domain name等。顺便提一句,public key与private key是一一对应的,经过public key加密的信息,从概率上来说,只有有private key的人才能解密。

4)      Validate Server Identify: Client与CA通信,确认Certificate中的public key与 domain name是合法有效的。

5)      Exchange secrete key: Secret key exchange: client端生成一个random的secret key, 并用public key加密。

6)      Exchange secrete key: Server端用private key解密被加密的secret key,这样Client与Server会share同一个secret key.

7)      利用同一个secret key, Client 与Server就可以加密解密接下来的所有消息通讯了(这是用的加解密算法为对称性加解密算法,诸如AES, Blowfish, Camellia, SEED等)。

3         获取SSL/TLS证书

SSL/TLS 的一个关键环节就是SSL/TLS证书。已经有了很多免费与开源的SSL/TLS库,如PolarSSL, CyaSSL, OpenSSL, NSS, or GnuTLS。JSSE也有实现,开发者可以根据需要自由选择。选择的库不同,获取SSL/TLS证书的步骤与方法也会稍有不同,但是大的流程与原理是相同的,毕竟只是同一协议的不同实现而已。

Node.js中用了Open  SSL,所以接下来的介绍就以Open SSL 为准。

3.1       下载/安装Open SSL

如果你使用的是windows,又不想自己编译生成Open SSL. 你可以下个Open SSL 的windows版本安装包。地址如下:

http://slproweb.com/products/Win32OpenSSL.html

3.2       生成Private key

在Command line tool 里,输入如下:

set OPENSSL_CONF=C:\OpenSSL-Win32\bin\openssl.cfg

openssl genrsa -out 2-key.pem 1024

第一行的目的是为了设置Open SSL的运行环境,否则会报warning的。

3.3       生成CSR

openssl req -new -key 2-key.pem -out 2-csr.pem

3.4       生成证书

3.4.1       Self-signed 证书

openssl x509 -req -in 2-csr.pem -signkey 2-key.pem -out 2-cert.pem

你可以生成self-signed 证书,这样就不需要付钱。但它的缺点有二点:

1)      第一次使用时,因为不被Browser识别,所以会弹出对话框,要求用户允许。

2)      在Ios的uiwebview中不能使用,会fail silently.

3.4.2       CA证书

你也可以花钱从certificate authority 那里买,我就从namecheap那买了一个,60元。有效期一年。

4         安装SSL/TLS证书

Server环境不同,安装证书的步骤也会不同。本文以NODE.JS为准。

4.1       Server端

刷了卡后,很快就从namecheap那收到了邮件,里面有三个文件:

  • Root CA Certificate - AddTrustExternalCARoot.crt
  • Intermediate CA Certificate - PositiveSSLCA2.crt
  • Your PositiveSSL Certificate - www_domainname_com.crt

利用一个文件编辑器,拼接PositiveSSLCA2.crt与AddTrustExternalCARoot.crt,生成一个新的文件domainname.ca-bundle。该文件是CA的Certificate.

然后就可以在node.js里设置证书了:

var tlsOptions={

      ca: fs.readFileSync(__dirname + '/pesoftexploration.ca-bundle'),

    key: fs.readFileSync(__dirname + '/key.key'),

   cert: fs.readFileSync(__dirname + '/cert.crt')

};

var port = 8080;

//set up https

var express = require('express');

var app = express.createServer(tlsOptions);

4.2       Client端

Client端的实现比较简单,只要把以前的http改成https就行了。

socket = io.connect(https://www.domainname.com:8080/);

5         总结

本文介绍了SSL/TLS协议的握手步骤与及如何在NODE.JS中布署SSL/TLS.  重点是把我个人对SSL/TLS探索过程中遇到的关键点与难点作了阐述,很多地方讲得并不是很详细,如果感兴趣,可以阅读参考中列出的文章。

6         参考

http://en.wikipedia.org/wiki/Transport_Layer_Security

http://en.wikipedia.org/wiki/OpenSSL

http://java.sun.com/developer/technicalArticles/Security/secureinternet/

http://www.mobilefish.com/developer/openssl/openssl_quickguide_code_examples.html

http://jaspreetchahal.org/warning-cant-open-config-file-usrlocalsslopenssl-cnf/

http://slproweb.com/products/Win32OpenSSL.html

http://stackoverflow.com/questions/6658557/alternative-to-ssl-manual-encryption

http://blog.derekperez.com/post/4489069081/debugging-errors-within-nodejs

http://stackoverflow.com/questions/933331/how-to-use-nsurlconnection-to-connect-with-ssl-for-an-untrusted-cert/2033823#2033823

http://serverfault.com/questions/329585/ec2-is-an-instances-public-dns-stable-can-i-rely-on-it-not-changing

http://stackoverflow.com/questions/5679509/free-trustable-ssl-certificates

http://qugstart.com/blog/node-js/install-comodo-positivessl-certificate-with-node-js/

转载于:https://www.cnblogs.com/LevinJ/archive/2012/05/16/2503586.html

dizizhong3716
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nodejs使用TLS
Sirius的博客
02-22 1719
1. 使用openssl生成服务器和客户端证书 生成服务器证书,服务器使用自签名证书(也就是自己扮演CA) openssl genrsa -out server-key.pem 2048 openssl req -new -sha256 -key server-key.pem -out server-csr.pem # 在CN处填写服务器主机名www.qikangwei.com openss...
Node.Js TLS(SSL) HTTPS双向验证
服务器端攻城师
01-07 1万+
考虑到数据传输的安全及保密,决定采用TLS(SSL)协议,既节省了设计安全协议的时间,也容易与外部系统协同工作。作为工业标准的TLS(SSL)协议已经有许多成熟的解决方案,故不打算自行开发,而是使用开源社区广泛使用的OpenSSL。 由于TLS(SSL)是基于非对称的加密体系,所以在开发前需要准备用于加密解密及验证的私钥及数字证书。这里分别为CA、服务器、客户端分别准备1套密钥及证书。
TLS/SSL通信基于NodeJS16
fredricen的专栏
08-26 825
基于node.js的安全传输加密通信,底层在传输层上进行,服务端和客户端交互。
nodejs加密操作
ZERO的博客
11-26 3682
对密码进行加密处理 为了保证数据的安全性,不建议将密码按明文的形式存储,而是建议将密码加密存储。 bcryptjs包 使用bcryptjs对用户密码加密有以下优点 加密后无法逆向破解 同一明文加密多次,产生的是不同的加密结果 安装bcryptjs npm i bcryptjs 导入并使用加密 使用bcrypt的hashSync(明文字符串, 随机盐长度)方法,该方法返回一个加密后的字符串 const bcrypt = require("bcrypt"); const encodedStr
nodejs-ssl-example:io.jsnode.js零配置HTTPS服务器示例(包含伪造的TLSSSL 2048位RSA证书)
04-06
HTTPS 2048位RSA TLS / SSL证书示例 这是针对使用io.js / node.js的人员的,但是就生成和测试证书而言,这些是与您在任何语言使用过的openssl命令完全相同的命令。 ScreenCast 参见 请参阅的完整文章。 零配置...
OAuth2.0-demo-nodejs:使用 express 应用程序展示 OAuth2.0 和 openID Connect 授权工作流程的示例演示应用程序
08-03
Intuit OAuth2.0 示例 - NodeJS 概述 这是一个使用 Node.js 和 Express Framework 构建的sample应用程序,用于展示如何使用 Intuit 的 OAuth2.0 客户端进行授权和...TLS / SSL(可选) 如果您希望通过 Internet 公开
minimum-tls-version:允许您轻松指定 node.js 和 io.js 的最小 TLSSSL 版本
06-15
最低 TLS 版本允许您轻松地为 node.js 和 io.js 指定 TLS/SSL 版本。 所有早于最低版本的 TLS/SSL 版本都将被禁用。 TLS/SSL 版本的完整列表如下。用法只需加载模块: var minimumTLSVersion = require('minimum-tls...
Node.js v6.10.2 文文档、包含英文
04-20
Node.js v6.10.2 文档 关于本文档 用法与例子 Assert (断言) Buffer C/C++ 插件 Child Processes (子进程) ...TLS/SSL TTY (终端) UDP/Datagram (数据报) URL Util (实用工具) V8 VM (虚拟机) ZLIB (压缩)
jks-js:从Java密钥提取PEM证书,以便使用节点js安全地连接到基于Java的服务器
05-05
JKS-JS 描述 jks-js是到PEM证书的转换器,以便使用节点js安全地连接到基于Java的... tls . connect ( '<port>' , '<host>' , { key : key , cert : cert , } ) ; 原料药 const { /** * Extracts certificates from
rootca.crt
04-07
D:\Java1.8\jdk1.8.0_20_64\bin\rootca.crt 证书
NodeJS学习笔记 (32)安全加密-tls
dglf54292的博客
06-19 121
https://github.com/chyingp/nodejs-learning-guide 转载于:https://www.cnblogs.com/eret9616/p/9197275.html
Whistle 抓包简易教程
huangpb的博客
06-06 1万+
详细内容请看Whistle官网 Whistle 是基于Node实现的跨平台调试代理工具。 安装流程 1. 安装 node 终端输入 node -v 检查 node 是否安装成功 2. sudo npm install -g whistle //Mac上安装指令前要加sudo 终端输入 whistle help 检查 whistle是否安装成功 3. 最新版的 ...
Whistle安装使用教程,抓取移动端HTTPS
weixin_45620420的博客
09-02 5810
Whistle安装使用教程,抓取移动端HTTPS 1、安装Node (https://nodejs.org/en/) 2、启动whistle w2 start -p 8899 (# 可更改端口号) (为了不冲突,此处我将端口号设为了8877) (# w2 restart --重启whistle) (# w2 stop --关闭whistle) 3、打开whistle 将ip:端口号放到Chrome浏览器(或手机浏览器)访问即可 4、抓取手机http: 连代理,直接就可以抓取到了 5、抓取HTTPS
whistle-安卓手机配置代理
weixin_42719923的博客
11-18 4352
一、手机端代理配置 1、手机与电脑连同一网络 2、手机代理配置和设置静态IP 3、安装证书 (1)手机浏览器输入:http://rootca.pro/ (2)从whistle的https上使用手机浏览器扫码下载 **若安装不上,直接将证书安装包传输到手机上进行安装 PS:如果配置完代理,手机无法访问,可能是whistle所在的电脑防火墙限制了远程访问whistle的端口,需要关闭电脑的防火墙 二、Android7.0及以上系统无法抓取https的...
Whistle强大的WEB调试代理工具
热门推荐
✎﹏ℳ๓₯三ོ岁ꦿ会撩人
07-29 1万+
whistle(读音[ˈwɪsəl],拼音[wēisǒu])基于Node实现的跨平台web调试代理工具,类似的工具有Windows平台上的Fiddler,主要用于查看、修改HTTP、HTTPS、Websocket的请求、响应,也可以作为HTTP代理服务器使用,不同于Fiddler通过断点修改请求响应的方式,whistle采用的是类似配置系统hosts的方式,一切操作都可以通过配置实现,支持域名、...
Whistle 前端抓包
weixin_39357177的博客
11-29 1663
启动whistle及配置完代理后,用Chrome浏览器(由于css兼容性问题界面只支持Chrome浏览器)访问配置页面,如果能正常打开页面,whistle安装启动完毕,可以开始使用。方式2:通过ip+端口来访问,形式如 http://whistleServerIP:whistlePort/ e.g. http://127.0.0.1:8899。安装到这步访问http://127.0.0.1:8899正常,就证明可以抓取HTTP包啦。如果能正常输出whistle的帮助信息,表示whistle已安装成功。
HTTPS安全协议解析以及基于nodejs搭建https服务
thlzjfefe的博客
01-22 1143
HTTPS原理 HTTPS域名配置与证书申请 nodejs配置证书启动HTTPS服务 HTTPS服务可能需要解决的问题与潜在的安全问题 一、HTTPS原理 HTTPS有被称为HTTP安全协议,在HTTP协议的基础上增加一层安全层,也就是在HTTP应用层与TCP传输层之间增加一层加密与认证流程,确保通讯的安全。这一层协议也通常被称为SSL(Secure Sockets Layer安全套接层),或者也可以说是其后继者TLS(Transport Layer Security传输层安全),这两者总体上的加.
Idea使用证书远程连接Linux Docker
真是适合睡觉的天气
06-10 593
环境 环境 版本 Idea 2020.1 Docker 20.10.2 Cent OS 8 VMware Workstation Pro 15 Xftp 7 Docker插件 先在idea安装docker插件,选择File->Settings...->Plugins 在Marketplace搜索框输入docker查询,然后选择install 安装成功后选择Build,Execution,Deployment-&gt.
nodejs页面如何不对外开放
最新发布
04-01
要防止Node.js页面对外开放,可以采取以下措施: 1. 使用防火墙:设置防火墙规则,只允许特定的IP地址或IP地址段访问Node.js服务器,其他IP...因此,建议在应用程序采取多层防御措施,以确保Node.js页面的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值