IT技术 - 为 Express 和 Nginx 配置 HTTPS - 吾爱随笔录

为 Express 和 Nginx 配置 HTTPS

IT技术 javascript node.js ssl nginx https

2021-02-16 03:59:00

我正在尝试为 https 连接配置我的 ExpressJS 应用程序。Express 服务器在 localhost:8080 和安全的 localhost:8443 上运行。

下面是与 https 相关的 server.js 代码：

var app = express();

var https = require('https');

const options = {
    cert: fs.readFileSync('/etc/letsencrypt/live/fire.mydomain.me/fullchain.pem'),
    key: fs.readFileSync('/etc/letsencrypt/live/fire.mydomain.me/privkey.pem')
};

app.listen(8080, console.log("Server running"));
https.createServer(options, app).listen(8443, console.log("Secure server running on port 8443"));

这是我的 Nginx 配置：

server {
    listen 80;
    listen [::]:80;
    server_name fire.mydomain.me;

    location / {
        proxy_pass http://localhost:8080;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection 'upgrade';
        proxy_set_header Host $host;
        proxy_cache_bypass $http_upgrade;
    }
}

server {
    listen 443;
    listen [::]:443;
    server_name fire.mydomain.me;
    location / {
        proxy_pass https://localhost:8443;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection 'upgrade';
        proxy_set_header Host $host;
        proxy_cache_bypass $http_upgrade;
    }
}

我做了什么：

使用 Letsencrypt certonly 工具为域 fire.mydomain.me 生成 SSL 证书。
配置nginx。
配置 server.js 节点应用程序。
为 Ufw 中的 443 端口添加 TCP 规则。

我试过

注释 server.js 中的 not-ssl server 行以强制连接通过 ssl 配置：当我尝试转到 fire.mydomain.me:443 而不是“https:// fire.mydomain.mydomain”时，这会为页面提供服务。我”。在这两种情况下，都没有 SSL。尝试访问 https://fire.mydomain.me 会在 Google Chrome 中生成此消息“此网站不提供安全连接”。
我首先按照本教程来设置我的 ssl 节点配置：https : //medium.com/@yash.kulshrestha/using-lets-encrypt-with-express-e069c7abe625#.93jgjlgsc

2个回答

您不需要在 nginx 反向代理和运行在同一主机上的 Node 应用程序之间使用 HTTPS。您可以将发送到端口 80 的 HTTP 请求和发送到端口 443 的 HTTPS 请求代理到您的 Node 应用程序中的同一端口 - 在这种情况下为 8080 - 在这种情况下您不需要配置 TLS 证书。

您可以将 server.js 文件更改为：

var app = express();

app.listen(8080, console.log("Server running"));

并使用 nginx 配置，该配置proxy_pass http://localhost:8080;同时支持端口 80 上的 HTTP 和端口 443 上的 HTTPS。

这是通常的做法。加密环回接口上的流量不会增加任何安全性，因为要嗅探流量，您需要对盒子进行 root 访问，当您拥有它时，您就可以读取证书并解密流量。考虑到https://nodejs.org/en/blog/vulnerability/上的大多数帖子都与 OpenSSL 相关这一事实，有人可能会争辩说，在 Node 中使用 SSL 会降低加密环回接口流量的特定情况下的安全性. 有关更多信息，请参阅有关 GitHub 上 Node 项目的讨论。

很好的解释！

2021-04-19 03:59:00

谢谢先生，您的解释非常有用，这是有效的！:)`

2021-05-07 03:59:00

感谢@rsp 解决方案，这里是有效的 Nginx 配置：

server {
listen 80;
listen 443 ssl;

server_name fire.mydomain.me;

ssl_certificate     /etc/letsencrypt/live/fire.mydomain.me/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/fire.mydomain.me/privkey.pem;

location / {
    proxy_pass http://localhost:8080;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection 'upgrade';
    proxy_set_header Host $host;
    proxy_cache_bypass $http_upgrade;
   }
}

这是否意味着数据在到达节点应用程序之前已经被解密？如果我的 http 流量已经重定向到 https，即if ($scheme != "https")，我还需要所有 http_upgrade 标头内容吗？

2021-05-16 03:59:00

其它你可能感兴趣的问题

上一篇如何使用 PhantomJS 渲染页面的一部分？下一篇捕获 LINK 上的加载事件