Nodejs多站点切换Htpps协议详解及简单实例

Nodejs多站点切换Htpps协议详解

windows下部署免费ssl证书(letsencrypt),sslletsencrypt

随着网络的发展,网络安全也越来越重要,对于网站来说,从Http升级到https也是我们要做的首要事情。要实现https,首先我们需要申请一张SSL证书,这篇文章我主要介绍下边这几个方面:

1. SSL简单介绍
2. 免费Letencrypt证书部署
3. 安装注意事项

一.SSL简单介绍

  ssl作为一个网络加密协议,主要是存在于系统中应用层和传输层之间的一个安全套接字层(Secure Socket Layer),也就是位于TCP/IP协议和各个应用层协议之间,为应用数据传输提供加密的协议。当然它内部又分记录协议和握手协议两个部分,这里如果有兴趣的可以去详细了解一下,我先简单介绍一下流程性的东西。

  它的工作流程大概可以理解为这样,客户端发起网络请求给服务端,发起握手,交换证书信息,建立连接。简单来说分为下边几部:

  客户端:发送其支持的ssl版本和加密方式给服务端。

  服务端:选择加密方式并发送证书和公钥给客户端

  客户端:验证证书信息,并通过公钥生成共享秘钥,交换

  服务端:好,咱们可以传递加密数据了

  以上是简单的描述了握手的过程,每一步都可以继续分解,可以自行查找相关文档深入了解。

 

  这里需要介绍的另外一个协议TLS,这个协议建立在SSL3.0规范之上,更加严格明确。其中它又有一个扩展协议叫做 SNI(Server Name Indication-服务器名称指示),这里介绍下它的主要作用。

  在我们常用的主机中,可能会有很多站点,我们并不能够一次性提前获知将使用此服务器的所有域名列表,但是我们不能每次修改域名重新颁发一次证书,所以有了SNI,让我们可以在一台主机上能够部署多个证书, 使得服务器可以在握手阶段选择正确虚拟域,并发送对应证书。在IIS8.0以上版本中,我们绑定域名时会有如下的选项:

 

   当前有很多免费和收费 ssl的证书提供商可以供我们选择,当然我们也可以自己作为颁发主体,制作ssl证书,不过像谷歌等浏览器对于不受信任的证书机构在页面上会给提示存在安全风险,阻止访问,这对用户体验来说是非常糟糕的。根据安全等级,当前ssl证书根据主要有以下几类:

  EV - 业界顶级SSL证书,部署了EV SSL证书的网站,地址栏会变成醒目的绿色,并且显示网站所属企业名称

  OV - 使用较为广泛的企业验证型SSL证书,部署了OV SSL证书之后,地址栏会有安全锁标识显示

  DV - 只验证域名,快速签发的SSL证书。也会在地址栏显示安全锁标识,但证书详情里面不显示O字段,不显示使用者名称,只显示域名

  当前受到主流浏览器承认的很多SSL证书机构颁发的免费证书主要也都是DV等级。下面我介绍一下最近比较知名的 Letencrypt 免费ssl证书在windows下的部署过程。

 

二. 免费Letencrypt证书部署

  这个是由国外发起的一个免费的ssl项目,现在已经得到了谷歌等主流浏览器的认可。从安全角度考虑,通过Letencrypt安装的免费证书只有三个月的有效期,到期之需要重新申请,但是这也给部署造成了一定的麻烦,所以官方也提供了各种自动化的解决方案,这里我介绍的是windows下的证书申请和自动更新工具 letsencrypt-win-simple

  首先我们下载   GitHub地址(https://github.com/Lone-Coder/letsencrypt-win-simple/releases) 并解压

  因为安装过程需要在站点下生成验证文件,所以请以管理员模式进入cmd界面,也可以右键开始菜单 点击 命令提示符(管理员)选项

进入解压文件夹,运行 letsencrypt.exe --san 命令

执行完之后会自动将IIS下的所有网站列出来,后边会有如下几个选项:

这几个选项分别对应不同的情况,这里因为我的机器下有好几个站点,我想给他们统一颁发一个证书,我选择S,之后它会提示你输入要安装的站点序号,这里我输入 3,4

 

接下来它会在每个站点下创建一个里验证文件,验证通过之后就会生成对应证书添加到IIS中,如果一切正常的情况下会在任务管理中创建一个定时更新任务。

 当前这个软件还存在一些bug,我个人在安装中也遇到了几个异常终止的错误,重复操作两次才正常通过,如果你也遇到问题,可以直接去IIS下证书管理,查看是否已经创建了对应的证书,如果存在可以手动绑定。

 

三. 注意事项

  使用Letencrypt时有一定的次数限制,以防止申请的滥用,这里是 官方网站 给出的限制信息:

If you have a lot of subdomains, you may want to combine them into a single certificate, up to a limit of 100 Names per Certificate. Combined with the above limit, that means you can issue certificates containing up to 2,000 unique subdomains per week. A certificate with multiple names is often called a SAN certificate, or sometimes a UCC certificate.
We also have a Duplicate Certificate limit of 5 certificates per week. A certificate is considered a duplicate of an earlier certificate if they contain the exact same set of hostnames, ignoring capitalization and ordering of hostnames. For instance, if you requested a certificate for the names [www.example.com, example.com], you could request four more certificates for [www.example.com, example.com] during the week. If you changed the set of names by adding [blog.example.com], you would be able to request additional certificates.

  如果你需要测试,可以在命令行中执行:letsencrypt.exe --test 。进入测试环境。

 

如果你还有其他问题,或者对我的OSS开源系列项目感兴趣,请关注公众号(OSSCoder):

图片 1

http://www.bkjia.com/Windowsjc/1194752.htmlwww.bkjia.comtruehttp://www.bkjia.com/Windowsjc/1194752.htmlTechArticlewindows下部署免费ssl证书(letsencrypt),sslletsencrypt 随着网络的发展,网络安全也越来越重要,对于网站来说,从Http升级到https也是我们要做的...

纯属赶个时髦,折腾了两天终于将个人小站的全部服务由http协议切换到了https,整个过程虽然也不算太麻烦,但也不得不承认,个人对互联网安全这方面的知识确认比较欠缺;

Letsencrypt是由Mozilla、思科和EFF等组织发起的,免费向广大互联网网站提供SSL证书,目的在于加速推进互联网由Http过渡到Https,很高兴周末能够与其不期而遇,这对于一个互联网散户来说,绝对是大大的福利,所以决定乘周末折腾一番:先搞到证书,再改程序;

获取letsencrypt颁发的免费的SSL证书也是相对比较简单的,我还是个windows服务器,目前没能耐去折腾Linux,所以要下载letsencrypt-win-simple的安装包,运行letsencrypt.exe就开始了:第一步输入邮箱,如果不是第一次申请会跳过前两步,然后有5个选项供你选择,一般选M,输入M,Enter就到了让你输入需要证书的域,接着输入这个域对应的站点的根目录,输入一个线上运行的域即可,指定的根目录需要是能够直接访问的,因为他会访问你输入的域以及根目录下的某个文件,我很纳闷他是怎么在我站点新建的那些目录和验证文件,也就是说,他会在你指定的目录下新建两层目录和一个他需要访问的验证文件,准确的说他要知道这个乱码文件里的一段乱码内容来完成认证;完成认证后就会在C:UsersAdministratorAppDataRoamingletsencrypt-win-simplehttpsacme-v01.api.letsencrypt.org目录下生成证书文件;接下来的步骤就相对可以随意些了;

如果你就一个主域和一个站点,那么就可以拿证书去改程序了;

如果真的这样就完事了,那么是否感觉太快了,以致于没啥体验了;按照上面的步骤一个域下面可以生成一次证书,那么重复这些步骤,生成多个域下面的多个证书自然也是可以的了,问题在于必要性,或许折腾就是在为你的天真弱知买单;

Ok,我很天真;我为主域和两个二级域各生成了一次证书,接下来改程序咯!

我的站点是用Nodejs搭建的,内部由http-proxy代理来串起来的3个小站点,没有使用Nginx完全是为了以业余的玩性多去理解一点Nodejs;接下来主站监听443端口,二级站点由http-proxy代理分发;

var https=require('https');
var http=require('http');
var fs=require('fs');

var server = http.createServer(app);
var httpsServer=https.createServer({
 key: fs.readFileSync('./privatekey.pem'),
 cert: fs.readFileSync('./certificate.pem')
},app);

httpsServer.listen(443);
server.listen(80);

  代理中间件大概的样子:

app.use(function(req,res,next){
  var proxy = httpProxy.createProxyServer({
    headers:{
      'x-forward-ip':req.ip.match(/([w.] )/g)[1]    }
  });
  proxy.on('error', function (err, req, res) {
    res.writeHead(500, {
      'Content-Type': 'text/plain'
    });
    res.end('Something went wrong.');
  });

  switch (req.headers.host){
    case 'm.famanoder.cn':
    proxy.web(req, res, { target: 'https://localhost:2333' });
    break;
    case 'cdn.famanoder.cn': 
    proxy.web(req, res, { target: 'https://localhost:3222' });
    break;
    default: 
      next();
  }
});

  这样主域用https访问一点问题没有,问题在于二级站点的访问浏览器始终会提示网站的证书不受信任,没办法,只好这样访问二级站点:https://cdn.famanoder.com:4000/,是的,带端口访问当然没问题,这样的话就没走代理了,可始终感觉不太方便,别扭,只能重想办法了;

本文由威尼斯人棋牌发布于计算机教程,转载请注明出处:Nodejs多站点切换Htpps协议详解及简单实例