本文旨在分享搭建https服务器的过程,具体知识点以及相关概念请自行查询。
第一步:创建文件目录如下,在index中引用外部的script.js文件,server.js是服务器文件。
第二步:创建自己的CA机构.
在根文件夹下打开命令行工具,直接依次使用下面的命令。
//为CA生成私钥
openssl genrsa -out ca-key.pem -des 1024
//通过CA私钥生成CSR
openssl req -new -key ca-key.pem -out ca-csr.pem
//通过CSR文件和私钥生成CA证书
openssl x509 -req -in ca-csr.pem -signkey ca-key.pem -out ca-cert.pem
注意下面的运行结果:enter pass phrase for ca-key.pem:设置自己的密码,要记住,接下来的操作中要多次验证。客户端和服务端的代码中要用,这里我设置的是sun13083691283.
需要设置项均可以直接enter键默认跳过。
第三步:创建服务器端证书
//(1)为服务器生成私钥
openssl genrsa -out server-key.pem 1024
//(2)利用服务器私钥文件服务器生成CSR
openssl req -new -key server-key.pem -config openssl.cnf -out server-csr.pem
这一步可能会报错,Unable to load config info from /user/local/ssl/openssl.cnf,或者有关openssl.cnf的错误,在根目录下创建一
个openssl.cnf的文件,将下面的代码拷贝进去。
[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
[req_distinguished_name]
countryName = Country Name (2 letter code)
countryName_default = CN
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = BeiJing
localityName = Locality Name (eg, city)
localityName_default = YaYunCun
organizationalUnitName = Organizational Unit Name (eg, section)
organizationalUnitName_default = Domain Control Validated
commonName = Internet Widgits Ltd
commonName_max = 64
[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[alt_names]
#注意这个IP.1的设置,IP地址需要和你的服务器的监听地址一样
IP.1 = 127.0.0.1
//(3)通过服务器私钥文件和CSR文件生成服务器证书
openssl x509 -req -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -in server-csr.pem -out server-cert.pem -extensions v3_req -extfile openssl.cnf
第四步:创建客户端证书
//(1)生成客户端私钥
openssl genrsa -out client-key.pem
//(2)利用私钥生成CSR
openssl req -new -key client-key.pem -out client-csr.pem
//(3)生成客户端证书
openssl x509 -req -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -in client-csr.pem -out client-cert.pem
第五步:将证书打包
//(1)打包服务器端证书
openssl pkcs12 -export -in server-cert.pem -inkey server-key.pem -certfile ca-cert.pem -out server.pfx
//(2)打包客户端证书
openssl pkcs12 -export -in client-cert.pem -inkey client-key.pem -certfile ca-cert.pem -out client.pfx
打包结束后在文件夹下会看到如下文件,将其放到keys文件中。
第六步:编写服务端代码
注意:代码里面的passphrase要填写之前设置的密码,sun13083691283
var https = require('https');
var fs = require('fs');
var options = {
pfx:fs.readFileSync('./keys/server.pfx','utf-8'),
passphrase:'your password'
};
https.createServer(options,function(req,res){
res.writeHead(200);
res.end('hello world\n');
}).listen(3000,'127.0.0.1');
第七步:编写客户端代码
注意:代码里面的passphrase要填写之前设置的密码,sun13083691283
var https = require('https');
var fs = require('fs');
var options = {
hostname:'127.0.0.1',
port:3000,
path:'/',
method:'GET',
pfx:fs.readFileSync('./keys/server.pfx','utf-8'),
passphrase:'your password',
agent:false
};
options.agent = new https.Agent(options);
var req = https.request(options,function(res){
console.log("statusCode: ", res.statusCode);
console.log("headers: ", res.headers);
res.setEncoding('utf-8');
res.on('data',function(d){
console.log(d);
})
});
req.end();
req.on('error',function(e){
console.log(e);
})
第八步:打开浏览器验证
参考资料:https://cnodejs.org/topic/54745ac22804a0997d38b32d
PS:这里需要注意一点,笔者在测试的时候,由于node.js相关模块的版本问题,调用 fs.readFileSync
函数需要指明编码类型,否则返回Buffer结果,并在运行时报错!这种报错在很多类似的网络资料上都会遇到。