Я використовую фреймворк Express у Node.js для створення веб-сервера. Я хочу, щоб транспорт базувався на SSL.
Код для створення веб-сервера https наведений нижче.
var app = express.createServer({
key: fs.readFileSync('./conf/key.pem'),
cert: fs.readFileSync('./conf/cert.pem')
});
module.exports = app;Питання: Як створити key.pem та cert.pem, які вимагає express?
Відповіді:
Два потрібні файли - це кодований PEM сертифікат SSL та приватний ключ. Сертифікати та ключі, кодовані PEM, - це текст, кодований Base64, з розподільниками початку та кінця, які виглядають схожими -----BEGIN RSA PRIVATE KEY-----або подібними.
Щоб створити сертифікат SSL, спочатку потрібно створити приватний ключ і запит на підпис сертифіката, або CSR (який також містить ваш відкритий ключ). Ви можете зробити це різними способами, але ось як це зробити в OpenSSL.
openssl req -newkey rsa:2048 -new -nodes -keyout key.pem -out csr.pemЦе призведе до того, що ви введете інтерактивне запит для створення 2048-розрядного приватного ключа RSA та CSR, який містить всю інформацію, яку ви вибрали для введення в підказках. ( Примітка: Загальне ім’я - це місце, де ви хочете вказати доменне ім’я, яке ви будете використовувати для доступу до свого веб-сайту. ) Після цього ви зазвичай подаєте цей CSR довіреному центру сертифікації та після перевірки. на ваш запит ви отримаєте сертифікат.
Якщо вам байдуже, чи надійний ваш сертифікат (як правило, це стосується цілей розробки), ви можете просто створити самопідписаний сертифікат. Для цього ми можемо використовувати майже той самий рядок, але ми передамо два додаткові параметри.
openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout key.pem -out cert.pemЦе дасть вам сертифікат (дійсний протягом 10 років) і пару ключів, які ви можете використовувати у розміщеному фрагменті коду.
Просто дотримуйтесь цієї процедури:
створіть папку, де ви хочете зберігати свій ключ та сертифікат:
mkdir conf
перейдіть до цього каталогу:
cd conf
захопіть цей ca.cnfфайл, щоб використовувати його як ярлик конфігурації:
wget https://raw.githubusercontent.com/anders94/https-authorized-clients/master/keys/ca.cnf
створити новий центр сертифікації, використовуючи таку конфігурацію:
openssl req -new -x509 -days 9999 -config ca.cnf -keyout ca-key.pem -out ca-cert.pem
тепер, коли у нас є центр сертифікації, ca-key.pemі ca-cert.pemдавайте створимо приватний ключ для сервера:
openssl genrsa -out key.pem 4096
захопіть цей server.cnfфайл, щоб використовувати його як ярлик конфігурації:
wget https://raw.githubusercontent.com/anders94/https-authorized-clients/master/keys/server.cnf
згенеруйте запит на підпис сертифіката, використовуючи таку конфігурацію:
openssl req -new -config server.cnf -key key.pem -out csr.pem
підпишіть запит:
openssl x509 -req -extfile server.cnf -days 999 -passin "pass:password" -in csr.pem -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem
Я знайшов цю процедуру тут , а також додаткову інформацію про те, як користуватися цими сертифікатами.