Node.js 部署免费/自动续订 HTTPS
統(tǒng)計(jì)了使用 Chrome 瀏覽器,訪(fǎng)問(wèn)的站點(diǎn)統(tǒng)計(jì)中,HTTPS 使用率的增長(zhǎng)情況:
而在今年 2 月份,Chrome 團(tuán)隊(duì)也宣布,將在 2018 年 7 月份發(fā)布的 Chrome 68 中,將沒(méi)有部署 HTTPS 的網(wǎng)站標(biāo)記為 "不安全"。
簡(jiǎn)而言之,HTTPS 大勢(shì)所趨。
Node.js 部署 HTTPS
由 ISRG(Internet Security Research Group,互聯(lián)網(wǎng)安全研究小組)提供服務(wù),免費(fèi)、訪(fǎng)問(wèn)速度快,穩(wěn)定等。
所以這次部署的證書(shū)也是圍繞?Let's Encrypt?展開(kāi)。
greenlock-express
由于 js 生態(tài)圈的繁華,所以想找一個(gè)現(xiàn)有的包是件很輕松的事情,greenlock-express?這個(gè)包就幫助我們封裝了?Let's Enctrypt?證書(shū)的部署,只需要引入這個(gè)包并使用,就可以:
并且?greenlock?相關(guān)的證書(shū)生態(tài)圈十分完善,同樣有支持?koa?的?greenlock-koa。
安裝和使用
通過(guò)?npm?安裝?greenlock-express:
$ npm install --save greenlock-express@2.x使用起來(lái)非常簡(jiǎn)單,這是?greenlock-express?默認(rèn)提供的 demo:
const greenlock = require('greenlock-express')require('greenlock-express').create({// 測(cè)試server: 'staging',// 聯(lián)系郵箱email: 'john.doe@example.com',// 是否同意 Let's Encrypt 條款... 這必須為 true 啊,不然走不下去agreeTos: true,// 申請(qǐng)的域名列表,不支持通配符approveDomains: [ 'tasaid.com', 'www.tasaid.com' ],// 綁定 express appapp: require('express')().use('/', function (req, res) {res.end('Hello, World!');}) }).listen(80, 443)證書(shū)存在?~/letsencrypt。
當(dāng)然上面代碼只能用于測(cè)試/開(kāi)發(fā)環(huán)境,因?yàn)樗](méi)有申請(qǐng)一個(gè)有效的證書(shū),而是生成了一個(gè)自簽名的證書(shū)(跟以前的 12306 自簽證書(shū)一樣),用于在開(kāi)發(fā)環(huán)境中調(diào)試。
API
greenlock-express?的?create(options)?函數(shù)參數(shù)簽名如下:
interface Options {/*** Express app*/app: Express/** 遠(yuǎn)程服務(wù)器* 測(cè)試環(huán)境中可用為 staging* 生產(chǎn)環(huán)境中為 https://acme-v01.api.letsencrypt.org/directory*/server: string/*** 用于接收 let's encrypt 協(xié)議的郵箱*/email: string/*** 是否同意協(xié)議*/agreeTos: boolean/*** 在注冊(cè)域名獲取證書(shū)前,會(huì)執(zhí)行這個(gè)回調(diào)函數(shù)* string[]: 一組需要注冊(cè)證書(shū)的域名* 函數(shù): 第一個(gè)參數(shù)跟 Options 格式差不多,第二個(gè)參數(shù)是當(dāng)前自動(dòng)獲取的域名信息,第三個(gè)參數(shù)是在處理完之后傳遞的回調(diào)函數(shù)*/approveDomains: string[] | (opts, certs: cb) => any/*** 更新證書(shū)最大天數(shù) (以毫秒為單位)*/renewWithin: number/*** 更新證書(shū)的最小天數(shù)(以毫秒為單位)*/renewBy: number }經(jīng)過(guò)測(cè)試,在真實(shí)的生產(chǎn)環(huán)境中,?approveDomains?必須為函數(shù),傳數(shù)組的話(huà)不會(huì)生效。
生產(chǎn)環(huán)境
生產(chǎn)環(huán)境中部署還需要做一些配置改動(dòng)和引入一些包。
更新包:
$ npm i --save greenlock-express@2.x $ npm i --save le-challenge-fs $ npm i --save le-store-certbot $ npm i --save redirect-https生產(chǎn)代碼:
const greenlock = require('greenlock-express') const express = require('express')const app = express()const lex = greenlock.create({// 注意這里要成這個(gè)固定地址server: 'https://acme-v01.api.letsencrypt.org/directory',challenges: { 'http-01': require('le-challenge-fs').create({ webrootPath: '~/letsencrypt/var/acme-challenges' }) },store: require('le-store-certbot').create({ webrootPath: '~/letsencrypt/srv/www/:hostname/.well-known/acme-challenge' }),approveDomains: (opts: any, certs: any, cb: any) => {appLog.info('approveDomains', { opts, certs })if (certs) {/** 注意這里如果是這樣寫(xiě)的話(huà),一定要對(duì)域名做校驗(yàn)* 否則其他人可以通過(guò)將域名指向你的服務(wù)器地址,導(dǎo)致你注冊(cè)了其他域名的證書(shū)* 從而造成安全性問(wèn)題*/// opts.domains = certs.altnamesopts.domains = [ 'tasaid.com', 'www.tasaid.com' ]} else {opts.email = '你的郵箱@live.com'opts.agreeTos = true}cb(null, { options: opts, certs: certs })}, })// 這里的 redirect-https 用于自動(dòng)將 HTTP 請(qǐng)求跳到 HTTPS 上 require('http').createServer(lex.middleware(require('redirect-https')())).listen(80, function () {console.log('Listening', `for ACME http-01 challenges on: ${JSON.stringify(this.address())}`) }) // 綁定 HTTPS 端口 require('https').createServer(lex.httpsOptions, lex.middleware(app)).listen(443, function () {console.log(('App is running at http://localhost:%d in %s mode'), app.get('port'), app.get('env'))console.log('Press CTRL-C to stop\n') })如果沒(méi)有生效,可以檢查下?~/letsencrypt?的證書(shū)信息,和 443 端口是否打開(kāi)。
部署 HTTP/2
HTTP/2?是?HTTP/1.1?的升級(jí)版,主要來(lái)說(shuō)改進(jìn)了這些地方:
值的注意的是,HTTP/2 是支持 HTTP 協(xié)議的,只不過(guò)瀏覽器廠(chǎng)商都不愿意支持 HTTP,所以基本上可以認(rèn)為,用上 HTTP/2 的前置條件是必須部署 HTTPS。
SPDY
早在 2009 年,Google 開(kāi)發(fā)了一個(gè)實(shí)驗(yàn)性協(xié)議,叫做?SPDY,目的解決 HTTP/1.x 中的一些設(shè)計(jì)缺陷。在 SPDY 發(fā)布幾年后,這個(gè)新的實(shí)驗(yàn)性協(xié)議得到了 Chrome、Firefox 和 Opera 的支持,應(yīng)用越來(lái)越廣泛。然后 HTTP 工作組 (HTTP-WG) 在這個(gè) SPDY 的基礎(chǔ)上,設(shè)計(jì)了 HTTP/2,所以可以說(shuō) SPDY 是 HTTP/2 的前身。
關(guān)于 HTTP/2 的詳情可以參考?這篇文章。
部署 HTTP/2
引入?HTTP/2?在?Node.js?中也十分簡(jiǎn)單,只需要引入?spdy?包即可:
$ npm i --save spdy然后我們把上一節(jié)的代碼做一點(diǎn)修改即可支持 HTTP/2:
const greenlock = require('greenlock-express') const express = require('express') // HTTP/2 const spdy = require('spdy')const app = express()const lex = greenlock.create({// 注意這里要成這個(gè)固定地址server: 'https://acme-v01.api.letsencrypt.org/directory',challenges: { 'http-01': require('le-challenge-fs').create({ webrootPath: '~/letsencrypt/var/acme-challenges' }) },store: require('le-store-certbot').create({ webrootPath: '~/letsencrypt/srv/www/:hostname/.well-known/acme-challenge' }),approveDomains: (opts: any, certs: any, cb: any) => {appLog.info('approveDomains', { opts, certs })if (certs) {/** 注意這里如果是這樣寫(xiě)的話(huà),一定要對(duì)域名做校驗(yàn)* 否則其他人可以通過(guò)將域名指向你的服務(wù)器地址,導(dǎo)致你注冊(cè)了其他域名的證書(shū)* 從而造成安全性問(wèn)題*/// opts.domains = certs.altnamesopts.domains = [ 'tasaid.com', 'www.tasaid.com' ]} else {opts.email = '你的郵箱@live.com'opts.agreeTos = true}cb(null, { options: opts, certs: certs })}, })// 這里的 redirect-https 用于自動(dòng)將 HTTP 請(qǐng)求跳到 HTTPS 上 require('http').createServer(lex.middleware(require('redirect-https')())).listen(80, function () {console.log('Listening', `for ACME http-01 challenges on: ${JSON.stringify(this.address())}`) })// HTTP/2 spdy.createServer(lex.httpsOptions, lex.middleware(app)).listen(443, function () {console.log('Listening https', `for ACME tls-sni-01 challenges and serve app on: ${JSON.stringify(this.address())}`) })至于 HTTP/2 相關(guān)的技術(shù)應(yīng)用,會(huì)在后續(xù)篇幅中再為大家講解。
總結(jié)
以上是生活随笔為你收集整理的Node.js 部署免费/自动续订 HTTPS的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: jquery.lazyload.js详解
- 下一篇: MVVM原理还你