一尘不染

为Express和Nginx配置HTTPS

node.js

我正在尝试为https连接配置ExpressJS应用。Express服务器在localhost:8080和安全的一个localhost:8443上运行。

这是与https相关的server.js代码:

var app = express();

var https = require('https');

const options = {
    cert: fs.readFileSync('/etc/letsencrypt/live/fire.mydomain.me/fullchain.pem'),
    key: fs.readFileSync('/etc/letsencrypt/live/fire.mydomain.me/privkey.pem')
};

app.listen(8080, console.log("Server running"));
https.createServer(options, app).listen(8443, console.log("Secure server running on port 8443"));

这是我的Nginx配置:

server {
    listen 80;
    listen [::]:80;
    server_name fire.mydomain.me;

    location / {
        proxy_pass http://localhost:8080;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection 'upgrade';
        proxy_set_header Host $host;
        proxy_cache_bypass $http_upgrade;
    }
}

server {
    listen 443;
    listen [::]:443;
    server_name fire.mydomain.me;
    location / {
        proxy_pass https://localhost:8443;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection 'upgrade';
        proxy_set_header Host $host;
        proxy_cache_bypass $http_upgrade;
    }
}

我做了什么 :

  • 使用Letsencrypt certonly工具为域fire.mydomain.me生成SSL证书。
  • 配置nginx。
  • 配置server.js节点应用程序。
  • 在Ufw中为443端口添加TCP规则。

我试过了

  • 注释server.js中的not-ssl服务器行以强制连接通过ssl配置:当我尝试转到fire.mydomain.me:443而不是“ https:// fire.mydomain。我”。在两种情况下都没有SSL。尝试访问https:// fire.mydomain.me时,会在Google Chrome浏览器中生成此消息“此网站不提供安全连接”。

  • 我首先按照本教程设置了ssl节点配置:https : //medium.com/@yash.kulshrestha/using-lets-encrypt-with-express-e069c7abe625#.93jgjlgsc


阅读 372

收藏
2020-07-07

共1个答案

一尘不染

您无需在运行于同一主机上的nginx反向代理和Node应用之间使用HTTPS。您可以将对端口80的HTTP请求和对端口443的HTTPS请求都代理到您的Node应用程序中的同一端口(在这种情况下为8080),并且在这种情况下无需配置TLS证书。

您可以将server.js文件更改为:

var app = express();

app.listen(8080, console.log("Server running"));

并使用proxy_pass http://localhost:8080;同时在端口80和HTTPS在端口443上都具有的nginx配置。

通常是这样的。在回送接口上对流量进行加密不会增加任何安全性,因为要嗅探流量,您需要对该设备具有root权限,当您拥有该权限时,您可以阅读证书并始终对流量进行解密。考虑到https://nodejs.org/en/blog/vulnerability/上的大多数帖子都与OpenSSL有关,因此可以认为,在加密回送接口流量的特定情况下,在Node中使用SSL可能使其安全性降低。
。有关更多信息,请参见有关GitHub上Node项目的讨论

2020-07-07