2

我正在尝试设置letsencrypt(现在显然是greenlock)以使用express进行端口转发。

我解决了第一个问题

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3000
iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 3443

问题是,现在,我得到:

Fetching certificate for 'xxx' to use as default for HTTPS server...
[acme-v2] handled(?) rejection as errback:
Error: connect ECONNREFUSED 127.0.1.1:80
    at TCPConnectWrap.afterConnect [as oncomplete] (net.js:1126:14)
Error loading/registering certificate for 'xxx':
Error: connect ECONNREFUSED 127.0.1.1:80
    at TCPConnectWrap.afterConnect [as oncomplete] (net.js:1126:14) {
  errno: 'ECONNREFUSED',
  code: 'ECONNREFUSED',
  syscall: 'connect',
  address: '127.0.1.1',
  port: 80
}

我的应用程序现在是这样的:

require("greenlock-express")
    .create({
    server: "https://acme-staging-v02.api.letsencrypt.org/directory",
        email: "xxx@gmail.com", // The email address of the ACME user / hosting provider
        agreeTos: true, // You must accept the ToS as the host which handles the certs
        configDir: "~/.config/acme/", // Writable directory where certs will be saved
        communityMember: true, // Join the community to get notified of important updates
        telemetry: true, // Contribute telemetry data to the projec
    store: require('greenlock-store-fs'),
    approveDomains: ['xxx.xxx.xxx'],
        // Using your express app:
        // simply export it as-is, then include it here
        app: require("../app.js")

        //, debug: true
    })
    .listen(3000, 3443);

显然我不能将端口 80 和 443 与 nodeJS 一起使用,但我也不能将任何其他端口与 greenlock 一起使用……解决方法是什么?

4

1 回答 1

4

我是Greenlock的作者。

Let's Encrypt vs Greenlock

Let's Encrypt 是 EFF 的免费 SSL 服务的品牌名称。

Greenlock 是我为我的 JavaScript 客户端提供服务的品牌名称。

当他们开始为 Let's Encrypt 申请商标时,我更改了名称。

视频图

如果您遵循 Greenlock 快速入门,您就不会失败。:)

此外,一个老歌,但一个好人:

保持愚蠢-简单

  • 虚拟主机
  • 网帽
  • 系统

在磁盘持久的普通 VPS(例如Digital OceanLinodeVultrScaleway)上,使用“netcap”。这将允许非 root 用户绑定到特权端口:

sudo setcap 'cap_net_bind_service=+ep' $(which node)

多田!现在您可以node ./server.js --port 80作为普通用户运行了!

旁白

您还可以使用systemd来停止和启动您的服务。因为systemd有时是皮塔饼,所以我在 Go 中编写了一个包装器脚本,这使得部署节点项目变得非常容易:

# Install
curl https://rootprojects.org/serviceman/dist/linux/amd64/serviceman -o serviceman
chmod +x ./serviceman
sudo serviceman /usr/local/bin

# Use
cd ./my/node/project
sudo serviceman --username $(whoami) --cap-net-bind add npm start

或者,如果您的服务器没有被称为“server.js”(事实上的标准),或者额外的选项:

cd ./my/node/project
sudo serviceman --username $(whoami) --cap-net-bind add node ./my-server-thing.js -- --my-options

所做的只是systemd使用健全的默认值为您创建文件。我建议您也查看systemd文档,但它有点难以理解,并且可能比简单而好的教程更令人困惑和糟糕的教程。

除非您是专家,否则不要使用 AWS / EC2

我回答了你提到的那个问题: https ://stackoverflow.com/a/58388665/151312

它可能会从 AWS 顽固分子那里得到一堆反对票……但是:

不要使用 AWS。使用 VPS。

我真的很喜欢Digital OceanVultr

此外,这两个都有 Greenlock DNS-01 插件。这将使您的生活变得真正轻松。

HTTP-01 与 DNS-01 验证

Greenlock 的默认验证必须通过端口 80 上的 HTTP。这是规范的一部分。他们不能通过HTTPS 或任何其他端口。

但是,如果您需要 SSL / TLS 用于私有网络(这可能不是您的问题),您可以使用 DNS-01 插件。如上所述,与 Digital Ocean、Vultr 和其他一些集成非常简单:

大约有十几个不同的插件。除了通配符域和专用网络之外,您不必使用它们,但如果您认为在同一个地方管理 DNS 和 VPS 对您有好处,我强烈建议使用 DNS-01 而不是 HTTP-01。

端口转发是不行的

除非您是专家并且知道自己在做什么以及为什么,否则不要进行端口转发。你会遇到困难,事情不会像你期望的那样工作。

您如何成为专家...有很多方法(这并不)...但是,据我了解,这并不能真正帮助您实现最直接的目标。

对不起,我不能比这更有帮助,但这是一个很大的话题。

于 2019-10-15T07:04:03.150 回答