已编辑
我试图让 SSL 在应用程序上运行,但我无法让它运行。我在解决问题时遇到问题。
我创建了一个基本的应用程序来测试它:
var https = require('https');
var fs = require('fs');
var options = {
key: fs.readFileSync('./ssl/server_key.pem'),
cert: fs.readFileSync('./ssl/server_crt.pem'),
passphrase: 'mypassphrase',
ca: fs.readFileSync('./ssl/cacert.pem'),
requestCert: true,
rejectUnauthorized: false
};
https.createServer(options, function (req, res) {
console.log('req.client.authorized: %s', req.client.authorized);
if (req.client.authorized) {
res.writeHead(200);
res.end("hello world\n");
}
else {
res.writeHead(404);
res.end("Not authorised\n");
}
}).listen(3000);
console.log('Server started...');
我已经使用OpenSSL 上的 Ubuntu 文档创建了证书。我使用的过程是:
创建证书颁发机构根证书和密钥
导出 OPENSSL_CONF=~/myCA/caconfig.cnf
openssl req -x509 -newkey rsa:2048 -out cacert.pem -outform PEM -days 1825
生成:CA公共证书'cacert.pem';和 CA 私钥“cakey.pem”
创建自签名服务器证书
导出 OPENSSL_CONF=~/myCA/exampleserver.cnf
openssl req -newkey rsa:1024 -keyout tempkey.pem -keyform PEM -out tempreq.pem -outform PEM
mv tempkey.pem server_key.pem
导出 OPENSSL_CONF=~/myCA/caconfig.cnf
openssl ca -in tempreq.pem -out server_crt.pem
生成:服务器应用程序证书文件'server_crt.pem';和服务器应用程序密钥文件“server_key.pem”。
从服务器的根 CA X.509 证书创建 PKCS#12 证书以供客户端使用
openssl req -x509 -nodes -days 365 -newkey rsa:1024 -keyout mycert.pem -out mycert.pem
openssl pkcs12 -export -out mycert.pfx -in mycert.pem -name "MySite 证书"
这会产生文件“mycert.pfx”。
将文件复制到应用程序的 ssl 目录
我将文件“cacert.pem”、“server_key.pem”和“server_crt.pem”复制到应用程序的 ssl 目录。
通过 Firefox 的内置证书管理器将文件“mycert.pfx”导入 Firefox(我将其导入标记为“您的证书”的选项卡)。
https://ssl:3000在 Firefox 中输入 URL ( )此时我收到来自 Firefox 的“用户识别请求”,我从中选择我的证书。然后我收到来自 Firefox 的错误消息:
“... Secure Connection Failed 连接到 ssl:3000 期间发生错误。对等方的证书具有无效签名。(错误代码:sec_error_bad_signature)...”
我尝试使用 进行故障排除curl -v -s -k -E mycert.pem:somepassword https://ssl:3000,并收到以下输出:
- 即将 connect() 到 ssl 端口 3000 (#0)
- 正在尝试 XXX.XXX.XXX.XXX... 已连接
- 成功设置证书验证位置:
- CAfile:无 CApath:/etc/ssl/certs
- SSLv3、TLS握手、客户端问候(一):
- SSLv3、TLS 握手、Server hello (2):
- SSLv3、TLS 握手、CERT (11):
- SSLv3、TLS 握手、请求 CERT (13):
- SSLv3,TLS 握手,服务器完成 (14):
- SSLv3、TLS 握手、CERT (11):
- SSLv3、TLS 握手、客户端密钥交换(16):
- SSLv3、TLS 握手、CERT 验证(15):
- SSLv3,TLS更改密码,客户端问候(1):
- SSLv3,TLS 握手,已完成 (20):
- SSLv3,TLS更改密码,客户端问候(1):
- SSLv3,TLS 握手,已完成 (20):
- 使用 AES256-SHA 的 SSL 连接
- 服务器证书:
- 主题:CN=ssl;ST=北京;C=CN; 电子邮件地址=root@localhost;O=孟加拉公司;OU=卧室
- 开始日期:格林威治标准时间 2012-07-17 05:11:49
- 到期日期:格林威治标准时间 2017 年 7 月 16 日 05:11:49
- subjectAltName:ssl 匹配
- 发行人:CN=ssl;ST=北京;C=CN; 电子邮件地址=root@localhost;O=孟加拉公司;OU=卧室
- SSL 证书验证结果:自签名证书 (18),仍然继续。GET / HTTP/1.1 用户代理:curl/7.22.0 (i686-pc-linux-gnu) libcurl/7.22.0 OpenSSL/1.0.1 zlib/1.2.3.4 libidn/1.23 librtmp/2.3 主机:ssl:3000 接受:/
HTTP/1.1 404 未找到
日期:2012 年 7 月 17 日星期二 05:22:04 GMT
连接:保持活动
传输编码:分块
未授权
- 与主机 ssl 的连接 #0 保持不变
- 关闭连接 #0
- SSLv3、TLS 警报、客户端问候 (1):
如果我然后运行,netstat我会得到这个输出:
活跃的互联网连接(无服务器)
Proto Recv-Q Send-Q 本地地址 外部地址 状态
tcp 0 0 ssl:55719 ssl:3000 TIME_WAIT
我无法弄清楚我做错了什么。如果有人能指出我正确的方向,我将不胜感激。