Node搭建https服务器实例详解

 本文旨在分享搭建https服务器的过程，具体知识点以及相关概念请自行查询。

第一步：创建文件目录如下，在index中引用外部的script.js文件，server.js是服务器文件。

 第二步：创建自己的CA机构.

在根文件夹下打开命令行工具，直接依次使用下面的命令。

//为CA生成私钥
 openssl genrsa -out ca-key.pem -des 1024
//通过CA私钥生成CSR
 openssl req -new -key ca-key.pem -out ca-csr.pem
//通过CSR文件和私钥生成CA证书
 openssl x509 -req -in ca-csr.pem -signkey ca-key.pem -out ca-cert.pem

 注意下面的运行结果：enter pass phrase for ca-key.pem:设置自己的密码，要记住，接下来的操作中要多次验证。客户端和服务端的代码中要用，这里我设置的是sun13083691283.

 需要设置项均可以直接enter键默认跳过。

 

第三步：创建服务器端证书 

//（1）为服务器生成私钥
 openssl genrsa -out server-key.pem 1024
//（2）利用服务器私钥文件服务器生成CSR
 openssl req -new -key server-key.pem -config openssl.cnf -out server-csr.pem

这一步可能会报错，Unable to load config info from /user/local/ssl/openssl.cnf，或者有关openssl.cnf的错误，在根目录下创建一

个openssl.cnf的文件，将下面的代码拷贝进去。

[req]  
    distinguished_name = req_distinguished_name  
    req_extensions = v3_req  
    [req_distinguished_name]  
    countryName = Country Name (2 letter code)  
    countryName_default = CN  
    stateOrProvinceName = State or Province Name (full name)  
    stateOrProvinceName_default = BeiJing  
    localityName = Locality Name (eg, city)  
    localityName_default = YaYunCun  
    organizationalUnitName  = Organizational Unit Name (eg, section)  
    organizationalUnitName_default  = Domain Control Validated  
    commonName = Internet Widgits Ltd  
    commonName_max  = 64  
    [ v3_req ]  
    # Extensions to add to a certificate request  
    basicConstraints = CA:FALSE  
    keyUsage = nonRepudiation, digitalSignature, keyEncipherment  
    subjectAltName = @alt_names  
    [alt_names]  
	#注意这个IP.1的设置，IP地址需要和你的服务器的监听地址一样
    IP.1 = 127.0.0.1

//(3)通过服务器私钥文件和CSR文件生成服务器证书
 openssl x509 -req -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -in server-csr.pem -out server-cert.pem -extensions v3_req -extfile openssl.cnf

 第四步：创建客户端证书

//(1)生成客户端私钥
 openssl genrsa -out client-key.pem
//(2)利用私钥生成CSR
 openssl req -new -key client-key.pem -out client-csr.pem
//(3)生成客户端证书
 openssl x509 -req -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -in client-csr.pem -out client-cert.pem

第五步：将证书打包

//(1)打包服务器端证书
 openssl pkcs12 -export -in server-cert.pem -inkey server-key.pem -certfile ca-cert.pem -out server.pfx
//(2)打包客户端证书
 openssl pkcs12 -export -in client-cert.pem -inkey client-key.pem -certfile ca-cert.pem -out client.pfx

打包结束后在文件夹下会看到如下文件，将其放到keys文件中。 

第六步:编写服务端代码

注意：代码里面的passphrase要填写之前设置的密码，sun13083691283

var https = require('https');
var fs = require('fs');
var options = {
	pfx:fs.readFileSync('./keys/server.pfx','utf-8'),
	passphrase:'your password'
};
https.createServer(options,function(req,res){
	res.writeHead(200);
	res.end('hello world\n');
}).listen(3000,'127.0.0.1');

第七步：编写客户端代码

注意：代码里面的passphrase要填写之前设置的密码，sun13083691283

var https = require('https');
var fs = require('fs');
var options = {
	hostname:'127.0.0.1',
	port:3000,
	path:'/',
	method:'GET',
	pfx:fs.readFileSync('./keys/server.pfx','utf-8'),
	passphrase:'your password',
	agent:false
};
options.agent = new https.Agent(options);
var req = https.request(options,function(res){
console.log("statusCode: ", res.statusCode);
  console.log("headers: ", res.headers);
	res.setEncoding('utf-8');
	res.on('data',function(d){
		console.log(d);
	})
});
req.end();
req.on('error',function(e){
	console.log(e);
})

第八步：打开浏览器验证 

参考资料：https://cnodejs.org/topic/54745ac22804a0997d38b32d 

PS:这里需要注意一点，笔者在测试的时候，由于node.js相关模块的版本问题，调用 fs.readFileSync 函数需要指明编码类型，否则返回Buffer结果，并在运行时报错！这种报错在很多类似的网络资料上都会遇到。