服務端和客戶端各有一對公鑰和私鑰,使用公鑰加密的數據只能用私鑰解密,建立https傳輸之前,客戶端和服務端互換公鑰。客戶端發送數據前使用服務端公鑰加密,服務端接收到數據後使用私鑰解密,反之亦如此。
公鑰私鑰的生成可用openssl(linux,mac自帶,windows上需要自己安裝)工具來生成,具體生成步驟如下
1: 生成服務端客戶端公鑰私鑰
// 生成服務器端私鑰
$ openssl genrsa -out server.key 1024
//生成服務端公鑰
$ openssl rsa -in server.key -pubout -out server.pem
如果只使用公鑰/私鑰,會面臨一個問題,中間人攻擊。在客戶端與服務端呼喚公鑰的過程中,中間人對服務端充當客戶端,對客戶端充當服務端的角色。服務端和客戶端很難感受到中間人的存在。如下所示
爲了應對這種情況,還需要對得到的服務端公鑰進行認證,確定這個公鑰是來自你訪問的網站。證書裏包含了服務器的名稱,主機名,服務端的公鑰,簽發證書機構的名稱,來自簽名頒發機構的簽名。在客戶端拿到公鑰後會對簽名的公鑰進行檢查是否來自目標服務器,這樣避免中間人攻擊,生成簽名證書的過程如下,(需要用戶輸入的信息隨便填寫吧,偷偷懶 :)
2: 生成自簽名證書
CA(Certificate Authority,數字證書認證中心)
CA的作用是爲站點頒發證書,且這個證書有CA通過自己的公鑰和私鑰實現的簽名。通過CA機構頒發證書耗時耗力(貴啊!!!淘寶有單域名證書。。。)。這裏使用自簽名證書,說白了就說自己扮演CA機構,給自己頒發證書。
//生成CA私鑰
$ openssl genrsa -out ca.key 1024
//生成csr文件
$ openssl req -new -key ca.key -out ca.csr
//生成自簽名證書
$ openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt
//生成server.csr文件
$ openssl req -new -key server.key -out server.csr
//生成帶有ca簽名的證書
$ openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt
使用express和https/http進行建站。
3: demo
var express = require('express');
var https = require('https');
var http = require('http');
var fs = require('fs');
//同步讀取密鑰和簽名證書
var options = {
key:fs.readFileSync('./keys/server.key'),
cert:fs.readFileSync('./keys/server.crt')
}
var app = express();
var httpsServer = https.createServer(options,app);
var httpServer = http.createServer(app);
app.get('/',function(req,res,next){
res.send('Hello Express+https');
});
//https監聽3000端口
httpsServer.listen(3000);
//http監聽3001端口
httpServer.listen(3001);
使用chrome訪問自簽名網站會提示不安全(選擇繼續就行)
使用腳手架工具生成的代碼把app.listen 轉接到httsServer.listen就可以了(暫未找到其他方法直接生成使用https的腳手架)