服务器运行在 nginx 上。
配置如下:
ssl_certificate /usr/local/nginx/priv/mysite.ca.chained.crt;
ssl_certificate_key /usr/local/nginx/priv/mysite.ca.key;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_verify_depth 2;
chain certificate 的命令行:
cat mysite.ca.crt bundle.crt > mysite.ca.chained.crt
其中 mysite.ca.crt 是签名机构(signing authority)给我的证书,而 bundle.crt 是我的签名机构再次发送给我的 CA 证书。这里的问题是我没有直接从 GlobalSign 购买 SSL 证书,而是通过我的托管服务提供商 Singlehop。
SSL 证书的主要目的是通过参考 HTTPS 协议确认身份验证,并确保服务器和客户端之间的信息安全交换。 只有当本地计算机拥有由证书颁发机构直接或间接签署的有效根证书时,这才有可能。 但是,当根证书无法正常工作时,尤其是当 SSL 客户端发出 HTTPS 请求时,会出现无法获取本地颁发者证书的错误,并且在此期间,客户端必须共享 SSL 证书以进行身份验证。
任何人都可以通过生成签名密钥来签署 SSL 证书; 但是,操作系统和 Web 浏览器可能无法识别。
SSL 证书的主要宗旨是确认网站的身份验证并保护在服务器和浏览器之间传递的信息。有时,在向 HTTPS 站点发出 cURL 请求时,您需要共享 SSL 证书以进行身份验证。这样做时,可能会遇到 unable to get local issuer certificate 错误。
如果是采用如下的 Node.js 应用访问 https 服务:
app.get('/test-no-ssl', function(req, res){
fetch('http://jsonplaceholder.typicode.com/users')
.then(res => res.json())
.then(users => {
res.send(users)
}).catch(function(error) {
res.send(error)
})
})
//-- HTTPS --
app.get('/test-ssl', function(req, res){
fetch('https://jsonplaceholder.typicode.com/users')
.then(res => res.json())
.then(users => {
res.send(users)
}).catch(function(error) {
res.send(error)
})
})
app.listen(3003, () =>
console.log('Listening on port 3003...')
)
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
解决方案:
process.env[“NODE_TLS_REJECT_UNAUTHORIZED”] = 0
如果时间允许,可以考虑将上述环境变量的修改,注入到命令行的执行中。环境变量允许您在本地开发、测试、登台、用户验收测试 (UAT)、生产和属于项目工作流程的任何其他环境之间切换。
更好的解决方案:
const fetch = require('node-fetch');
const https = require('https');
const httpsAgent = new https.Agent({
rejectUnauthorized: false,
});
const response = await fetch(url, {
method: 'POST',
headers: headers,
body: body,
agent: httpsAgent,
});
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
