无法让 SSL 在 Node.js 应用程序中工作

Posted 2023-02-22

【中文标题】无法让 SSL 在 Node.js 应用程序中工作

【英文标题】：Having trouble getting SSL working in Node.js App

【发布时间】：2012-07-14 10:39:27

【问题描述】：

已编辑

我正在尝试让 SSL 在应用程序上运行，但我无法让它运行。我在解决问题时遇到问题。

我已经创建了一个基本的应用程序来测试它：

var https = require('https');
var fs = require('fs');

var options = 
  key: fs.readFileSync('./ssl/server_key.pem'),
  cert: fs.readFileSync('./ssl/server_crt.pem'),
  passphrase: 'mypassphrase',
  ca: fs.readFileSync('./ssl/cacert.pem'),
  requestCert: true,
  rejectUnauthorized: false
;

https.createServer(options, function (req, res) 
  console.log('req.client.authorized: %s', req.client.authorized);
  if (req.client.authorized) 
    res.writeHead(200);
    res.end("hello world\n");
  
  else 
    res.writeHead(404);
    res.end("Not authorised\n");
  

).listen(3000);
console.log('Server started...');

我使用Ubuntu Documentation on OpenSSL 创建了证书。我使用的过程是：

创建证书颁发机构根证书和密钥

导出 OPENSSL_CONF=~/myCA/caconfig.cnf

openssl req -x509 -newkey rsa:2048 -out cacert.pem -outform PEM -days 1825

生成：CA公共证书'cacert.pem'；和 CA 私钥 'cakey.pem'

创建自签名服务器证书

导出 OPENSSL_CONF=~/myCA/exampleserver.cnf

openssl req -newkey rsa:1024 -keyout tempkey.pem -keyform PEM -out tempreq.pem -outform PEM

mv tempkey.pem server_key.pem

导出 OPENSSL_CONF=~/myCA/caconfig.cnf

openssl ca -in tempreq.pem -out server_crt.pem

其中生成：服务器应用程序证书文件'server_crt.pem'；和服务器应用程序密钥文件“server_key.pem”。

从服务器的根 CA X.509 证书创建 PKCS#12 证书供客户端使用

openssl req -x509 -nodes -days 365 -newkey rsa:1024 -keyout mycert.pem -out mycert.pem

openssl pkcs12 -export -out mycert.pfx -in mycert.pem -name "MySite 证书"

这会产生文件“mycert.pfx”。

复制文件到应用的ssl目录

我将文件“cacert.pem”、“server_key.pem”和“server_crt.pem”复制到应用程序的 ssl 目录。

通过 Firefox 的内置证书管理器将文件“mycert.pfx”导入 Firefox（我将其导入标记为“您的证书”的选项卡）。

在 Firefox 中输入 URL (https://ssl:3000)

此时我收到来自 Firefox 的“用户识别请求”，我从中选择了我的证书。然后我收到来自 Firefox 的错误消息：

"... 安全连接失败 连接到 ssl:3000 时出错。 对等方的证书具有无效签名。 （错误代码：sec_error_bad_signature）...”

我尝试使用curl -v -s -k -E mycert.pem:somepassword https://ssl:3000 进行故障排除，并收到以下输出：

关于 connect() 到 ssl 端口 3000 (#0) 正在尝试连接 XXX.XXX.XXX.XXX... 成功设置证书验证位置： CA 文件：无 CApath：/etc/ssl/certs SSLv3、TLS 握手、客户端问候 (1)： SSLv3、TLS 握手、服务器问候 (2)： SSLv3、TLS 握手、CERT (11)： SSLv3、TLS 握手、请求 CERT (13)： SSLv3，TLS 握手，服务器完成 (14)： SSLv3、TLS 握手、CERT (11)： SSLv3、TLS 握手、客户端密钥交换 (16)： SSLv3、TLS 握手、CERT 验证 (15)： SSLv3，TLS 更改密码，客户端问候 (1)： SSLv3，TLS 握手，完成 (20)： SSLv3，TLS 更改密码，客户端问候 (1)： SSLv3，TLS 握手，完成 (20)： 使用 AES256-SHA 的 SSL 连接 服务器证书： 主题：CN=ssl； ST=北京； C=CN;电子邮件地址=root@localhost； O=孟加拉公司； OU=卧室 开始日期：2012-07-17 05:11:49 GMT 有效期：2017-07-16 05:11:49 GMT subjectAltName：ssl 匹配 发行者：CN=ssl； ST=北京； C=CN;电子邮件地址=root@localhost； O=孟加拉公司； OU=卧室 SSL 证书验证结果：自签名证书 (18)，仍然继续。 获取/HTTP/1.1 用户代理：curl/7.22.0 (i686-pc-linux-gnu) libcurl/7.22.0 OpenSSL/1.0.1 zlib/1.2.3.4 libidn/1.23 librtmp/2.3 主机：ssl:3000 接受：/

HTTP/1.1 404 未找到

日期：格林威治标准时间 2012 年 7 月 17 日星期二 05:22:04

连接：保持活动

传输编码：分块

未授权

与主机 ssl 的连接 #0 保持不变 关闭连接 #0 SSLv3、TLS 警报、客户端问候 (1)：

如果我然后运行netstat，我会得到这个输出：

活跃的互联网连接（无服务器）

Proto Recv-Q Send-Q 本地地址外部地址状态

tcp 0 0 ssl:55719 ssl:3000 TIME_WAIT

我无法弄清楚我做错了什么。如果有人能指出我正确的方向，我将不胜感激。

【参考方案1】：

我最近在 node.js 中实现了一个支持 SSL 的简单代理服务器。也许这可以帮助您调试解决方案。您可以在我的 Github 项目中找到生成自签名证书的代码和简短说明：https://github.com/alienhard/malinger。