HTTPS Node.jsサーバーに自己署名証明書を使用するにはどうすればよいですか？

Question

すべてのリクエストがHTTPS経由である必要があるAPIのラッパーを書き始めました。開発およびテスト中に実際のAPIにリクエストを行う代わりに、応答をモックする独自のサーバーをローカルで実行したいと思います。

HTTPSサーバーを作成して要求を送信するために必要な証明書を生成する方法について混乱しています。

私のサーバーは次のようになります。

var options = { key: fs.readFileSync('./key.pem'), cert: fs.readFileSync('./cert.pem') }; https.createServer(options, function(req, res) { res.writeHead(200); res.end('OK
'); }).listen(8000);

Pemファイルは次のもので生成されました。

openssl genrsa 1024 > key.pem openssl req -x509 -new -key key.pem > cert.pem

そして、リクエストは次のようになります。

var options = { Host: 'localhost', port: 8000, path: '/api/v1/test' }; https.request(options, function(res) { res.pipe(process.stdout); }).end();

このセットアップでは、Error: DEPTH_ZERO_SELF_SIGNED_CERTので、リクエストにcaオプションを追加する必要があると思います。

だから私の質問は、私が次を生成する方法です：

サーバーkey？
サーバーcert？
リクエストのca？

私はopensslで自己署名証明書を生成することについていくつかの記事を読みましたが、頭を包み込んで、ノードコードのどこでどの鍵と証明書を使用するかを理解できないようです。

更新

APIは、デフォルトの代わりに使用するCA証明書を提供します。次のコードは証明書を使用して機能し、これがローカルで再現したいものです。

var ca = fs.readFileSync('./certificate.pem'); var options = { Host: 'example.com', path: '/api/v1/test', ca: ca }; options.agent = new https.Agent(options); https.request(options, function(res) { res.pipe(process.stdout); }).end();

CoolAJ86 · Accepted Answer

更新（2018年11月）：自己署名証明書は必要ですか？

または、実際の証明書は仕事をより良くしますか？これらのいずれかを検討しましたか？

Greenlock.js で暗号化しましょう
https://greenlock.domains で暗号化しましょう
https://telebit.cloud などのローカルホストリレーサービス

（注：Let's Encryptはプライベートネットワークに証明書を発行することもできます）

スクリーンキャスト

https://coolaj86.com/articles/how-to-create-a-csr-for-https-tls-ssl-rsa-pems/

完全で実用的な例

証明書を作成します
node.jsサーバーを実行します
node.jsクライアントに警告やエラーはありません
cURLに警告やエラーはありません

https://github.com/coolaj86/nodejs-self-signed-certificate-example

localhost.greenlock.domainsを例として使用します（127.0.0.1を指します）。

server.js

'use strict'; var https = require('https') , port = process.argv[2] || 8043 , fs = require('fs') , path = require('path') , server , options ; require('ssl-root-cas') .inject() .addFile(path.join(__dirname, 'server', 'my-private-root-ca.cert.pem')) ; options = { // this is ONLY the PRIVATE KEY key: fs.readFileSync(path.join(__dirname, 'server', 'privkey.pem')) // You DO NOT specify `ca`, that's only for peer authentication //, ca: [ fs.readFileSync(path.join(__dirname, 'server', 'my-private-root-ca.cert.pem'))] // This should contain both cert.pem AND chain.pem (in that order) , cert: fs.readFileSync(path.join(__dirname, 'server', 'fullchain.pem')) }; function app(req, res) { res.setHeader('Content-Type', 'text/plain'); res.end('Hello, encrypted world!'); } server = https.createServer(options, app).listen(port, function () { port = server.address().port; console.log('Listening on https://127.0.0.1:' + port); console.log('Listening on https://' + server.address().address + ':' + port); console.log('Listening on https://localhost.greenlock.domains:' + port); });

client.js

'use strict'; var https = require('https') , fs = require('fs') , path = require('path') , ca = fs.readFileSync(path.join(__dirname, 'client', 'my-private-root-ca.cert.pem')) , port = process.argv[2] || 8043 , hostname = process.argv[3] || 'localhost.greenlock.domains' ; var options = { Host: hostname , port: port , path: '/' , ca: ca }; options.agent = new https.Agent(options); https.request(options, function(res) { res.pipe(process.stdout); }).end();

そして、証明書ファイルを作成するスクリプト：

make-certs.sh

#!/bin/bash FQDN=$1 # make directories to work from mkdir -p server/ client/ all/ # Create your very own Root Certificate Authority openssl genrsa \ -out all/my-private-root-ca.privkey.pem \ 2048 # Self-sign your Root Certificate Authority # Since this is private, the details can be as bogus as you like openssl req \ -x509 \ -new \ -nodes \ -key all/my-private-root-ca.privkey.pem \ -days 1024 \ -out all/my-private-root-ca.cert.pem \ -subj "/C=US/ST=Utah/L=Provo/O=ACME Signing Authority Inc/CN=example.com" # Create a Device Certificate for each domain, # such as example.com, *.example.com, awesome.example.com # NOTE: You MUST match CN to the domain name or ip address you want to use openssl genrsa \ -out all/privkey.pem \ 2048 # Create a request from your Device, which your Root CA will sign openssl req -new \ -key all/privkey.pem \ -out all/csr.pem \ -subj "/C=US/ST=Utah/L=Provo/O=ACME Tech Inc/CN=${FQDN}" # Sign the request from Device with your Root CA openssl x509 \ -req -in all/csr.pem \ -CA all/my-private-root-ca.cert.pem \ -CAkey all/my-private-root-ca.privkey.pem \ -CAcreateserial \ -out all/cert.pem \ -days 500 # Put things in their proper place rsync -a all/{privkey,cert}.pem server/ cat all/cert.pem > server/fullchain.pem # we have no intermediates in this case rsync -a all/my-private-root-ca.cert.pem server/ rsync -a all/my-private-root-ca.cert.pem client/ # create DER format crt for iOS Mobile Safari, etc openssl x509 -outform der -in all/my-private-root-ca.cert.pem -out client/my-private-root-ca.crt

例えば：

bash make-certs.sh 'localhost.greenlock.domains'

うまくいけば、これがこのailに釘を入れます。

その他の説明： https://github.com/coolaj86/node-ssl-root-cas/wiki/Painless-Self-Signed-Certificates-in-node.js

IOS Mobile Safariにプライベート証明書をインストールする

ルートCA証明書のコピーを、拡張子が.crtのDER形式で作成する必要があります。

# create DER format crt for iOS Mobile Safari, etc openssl x509 -outform der -in all/my-private-root-ca.cert.pem -out client/my-private-root-ca.crt

その後、Webサーバーでそのファイルを提供するだけです。リンクをクリックすると、証明書をインストールするかどうかを尋ねられます。

これがどのように機能するかの例については、MITの認証局をインストールしてみてください： https://ca.mit.edu/mitca.crt

関連する例

https://github.com/coolaj86/nodejs-ssl-example
https://github.com/coolaj86/nodejs-ssl-trusted-peer-example
https://github.com/coolaj86/node-ssl-root-cas
https://github.com/coolaj86/nodejs-https-sni-vhost-example
- （同じサーバー上でSSLを使用する複数の仮想ホスト）
https://telebit.cloud
- （localhostでのテストに今日使用できるREAL SSL証明書を取得します）

Loourr · Answer

これをリクエストオプションに追加してみてください

var options = { Host: 'localhost', port: 8000, path: '/api/v1/test', // These next three lines rejectUnauthorized: false, requestCert: true, agent: false };

John Slegers · Answer

この手順により、認証局と証明書の両方を作成できます。

これをつかむca.cnf設定のショートカットとして使用するファイル：

wget https://raw.githubusercontent.com/anders94/https-authorized-clients/master/keys/ca.cnf

この構成を使用して新しい認証局を作成します。

openssl req -new -x509 -days 9999 -config ca.cnf -keyout ca-key.pem -out ca-cert.pem

これで、ca-key.pemおよびca-cert.pem、サーバーの秘密鍵を生成しましょう：

openssl genrsa -out key.pem 4096

これをつかむserver.cnf設定のショートカットとして使用するファイル：

wget https://raw.githubusercontent.com/anders94/https-authorized-clients/master/keys/server.cnf

この構成を使用して証明書署名要求を生成します。

openssl req -new -config server.cnf -key key.pem -out csr.pem

リクエストに署名する：

openssl x509 -req -extfile server.cnf -days 999 -passin "pass:password" -in csr.pem -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem

この手順を見つけました here 、およびこれらの証明書の使用方法に関する詳細情報。

user1570577 · Answer

追加してみてください

 agent: false, rejectUnauthorized: false

binderbound · Answer

鍵の生成に問題はありません。署名されていないリクエストを拒否しないため、CAは必要ありません。

ReadFileSyncメソッドの最後に.toString（）を追加して、ファイルオブジェクトではなく実際に文字列を渡すようにします。