在现代Web应用开发中,HTTPS已经成为标准配置。本文将详细介绍如何使用Node.js实现HTTPS服务器,包括证书生成、单向认证和双向认证的完整实现。
前言
HTTPS(HTTP Secure)是HTTP协议的安全版本,它通过TLS/SSL加密来保护数据传输。在实现HTTPS服务器时,我们需要了解两种认证模式:单向认证和双向认证。
准备工作
首先,我们需要安装必要的依赖:
npm install express https
一、单向认证实现
单向认证是最常见的HTTPS实现方式,只有服务器需要提供证书,客户端验证服务器的身份,但服务器不验证客户端的身份。这是我们日常访问大多数网站时使用的模式。
1. 生成证书
首先,我们需要生成自签名证书:
# 生成私钥
openssl genpkey -algorithm RSA -out private_key.pem
# 生成证书签名请求(CSR)
openssl req -new -key private_key.pem -out certificate.csr
# 使用私钥对CSR进行签名,生成自签名证书
openssl x509 -req -in certificate.csr -signkey private_key.pem -out certificate.pem -days 365
2. 服务器实现
以下是单向认证的HTTPS服务器实现:
const express = require('express');
const https = require('https');
const fs = require('fs');
const app = express();
// 中间件,用于验证HTTPS
const forceHttps = (req, res, next) => {
if (req.secure) {
next();
} else {
res.status(401).send('Unauthorized - HTTPS only.');
}
};
// 应用中间件,对所有请求进行HTTPS验证
app.use(forceHttps);
// 在这里添加其他路由和处理程序
app.get('/', (req, res) => {
res.send('Hello, this is a secure HTTPS server!');
});
// HTTPS配置
const options = {
key: fs.readFileSync('./private_key.pem'),
cert: fs.readFileSync('./certificate.pem')
};
// 启动HTTPS服务器
const server = https.createServer(options, app);
const port = 3443; // 使用非特权端口
server.listen(port, () => {
console.log(`Server running on port ${port}`);
});
3. 客户端实现
以下是单向认证的客户端实现:
const https = require('https');
const options = {
hostname: '127.0.0.1',
port: 3443, // 使用与服务器相同的非特权端口
path: '/', // 请求的路径
method: 'GET', // 请求方法,可以是GET、POST等
rejectUnauthorized: false,
};
// 发送HTTPS请求
const req = https.request(options, (res) => {
console.log('statusCode:', res.statusCode);
// 接收响应数据
res.on('data', (data) => {
process.stdout.write(data);
});
});
// 错误处理
req.on('error', (error) => {
console.error('Error:', error);
});
// 结束请求
req.end();
在单向认证中,注意客户端代码中的rejectUnauthorized: false选项。这允许客户端接受自签名证书,在生产环境中应该设置为true并使用受信任的证书。
二、双向认证实现
双向认证(也称为相互认证)要求服务器和客户端都提供证书,双方互相验证对方的身份。这种模式通常用于需要高安全性的场景,如银行API、企业内部系统等。
1. 证书生成
双向认证需要一个更完整的PKI(公钥基础设施)。以下是生成所需证书的脚本:
#!/bin/bash
# 创建证书目录
mkdir -p certs
# 生成CA私钥和自签名证书
openssl genrsa -out certs/ca.key 2048
openssl req -new -x509 -key certs/ca.key -out certs/ca.crt -subj "/CN=My CA" -days 365
# 生成服务器私钥和CSR
openssl genrsa -out certs/server.key 2048
openssl req -new -key certs/server.key -out certs/server.csr -subj "/CN=localhost"
# 使用CA签署服务器证书
openssl x509 -req -in certs/server.csr -CA certs/ca.crt -CAkey certs/ca.key -CAcreateserial -out certs/server.crt -days 365
# 生成客户端私钥和CSR
openssl genrsa -out certs/client.key 2048
openssl req -new -key certs/client.key -out certs/client.csr -subj "/CN=client"
# 使用CA签署客户端证书
openssl x509 -req -in certs/client.csr -CA certs/ca.crt -CAkey certs/ca.key -CAcreateserial -out certs/client.crt -days 365
echo "所有证书已生成完成"
2. 服务器实现
以下是双向认证的HTTPS服务器实现:
const https = require('https');
const fs = require('fs');
const express = require('express');
const app = express();
// 创建简单的路由
app.get('/', (req, res) => {
// 获取客户端证书信息
const clientCert = req.socket.getPeerCertificate();
if (req.client.authorized) {
res.send(`安全连接已建立! 客户端证书CN: ${clientCert.subject.CN}`);
} else {
res.status(401).send('未授权: 客户端证书无效');
}
});
// HTTPS服务器选项 - 启用双向认证
const options = {
key: fs.readFileSync('./certs/server.key'),
cert: fs.readFileSync('./certs/server.crt'),
ca: fs.readFileSync('./certs/ca.crt'), // 用于验证客户端证书的CA
requestCert: true, // 请求客户端证书
rejectUnauthorized: true // 拒绝未授权的客户端
};
// 创建HTTPS服务器
const server = https.createServer(options, app);
const port = 4443;
server.listen(port, () => {
console.log(`双向认证HTTPS服务器运行在端口 ${port}`);
});
3. 客户端实现
以下是双向认证的客户端实现:
const https = require('https');
const fs = require('fs');
// HTTPS请求选项 - 包含客户端证书
const options = {
hostname: 'localhost',
port: 4443,
path: '/',
method: 'GET',
// 客户端证书设置
key: fs.readFileSync('./certs/client.key'),
cert: fs.readFileSync('./certs/client.crt'),
ca: fs.readFileSync('./certs/ca.crt'), // 用于验证服务器证书的CA
rejectUnauthorized: true // 验证服务器证书
};
// 发送HTTPS请求
const req = https.request(options, (res) => {
console.log('状态码:', res.statusCode);
// 接收响应数据
res.on('data', (data) => {
console.log('响应:', data.toString());
});
});
// 错误处理
req.on('error', (error) => {
console.error('请求错误:', error);
});
// 结束请求
req.end();
单向认证与双向认证的区别
| 特性 | 单向认证 | 双向认证 |
|---|---|---|
| 服务器证书 | 需要 | 需要 |
| 客户端证书 | 不需要 | 需要 |
| 服务器验证客户端 | 否 | 是 |
| 客户端验证服务器 | 是 | 是 |
| 安全级别 | 中等 | 高 |
| 适用场景 | 公共网站 | 企业内部系统、金融API |
使用curl测试HTTPS服务器
以下是一些使用curl测试HTTPS服务器的命令:
# 测试单向认证服务器(忽略证书验证)
curl https://127.0.0.1:3443 --insecure
# 测试单向认证服务器(使用CA证书验证)
curl --cacert certificate.pem https://localhost:3443
# 测试双向认证服务器(提供客户端证书)
curl --cacert certs/ca.crt --cert certs/client.crt --key certs/client.key https://localhost:4443
总结
本文详细介绍了如何使用Node.js实现HTTPS服务器的单向认证和双向认证。单向认证适用于大多数公共网站场景,而双向认证则提供了更高级别的安全性,适用于需要严格访问控制的场景。
在实际应用中,建议在生产环境使用受信任的CA签发的证书,而不是自签名证书。此外,妥善保管私钥和证书文件,定期更新证书,以确保系统安全。