前言
SSL数字签名实现网站的HTTPS化,可以使网站可信,防劫持、防篡改、防窃听,是未来网站安全的发展趋势。
今天,我将以个人的名义申请SSL数字证书,并部署在node.js服务器上。
1.在阿里云申请免费的个人SSL数字证书
阿里云的数字证书服务地址: https://www.aliyun.com/product/cas?spm=5176.8142029.388261.120.BiDYTi
注意到这里有多种类型的证书,个人网站的证书只要用DV即可(阿里云是免费的)。
- 域名验证型SSL(Domain Validation SSL),不显示任何信息,是最基础级的SSL证书。可10分钟快速颁发,能起到加密传输的作用,但无法向用户证明网站的真实身份。目前市面上的免费证书都是这个类型的,只是提供了对数据的加密,但是对提供证书的个人和机构的身份不做验证。
- 机构验证型SSL(Organization Validation SSL),提供加密功能,对申请者做严格的身份审核验证,提供可信身份证明。适合电子商务、电子政务网站、企事业单位管理系统、电子邮件系统使用,证书里显示单位名称。
- 扩展验证型SSL(Extended Validation SSL),超安=EV=最安全、最严格 超安EV SSL证书遵循全球统一的严格身份验证标准,是目前业界安全级别最高的顶级 (Class 4级)SSL证书。适合银行金融类电子商务网站(网上购物)使用,证书里显示单位名称,显示绿色地址栏。
2.验证身份并增加域名解析
进入后台(证书服务),根据提交你的资料。
如果你的域名是在阿里云的外网管理的,可勾选并自动写入一个记录;如果不是,那么不是,则在提交验证资料后,按照提示进入域名控制台增加一个记录。
3.下载证书
在身份验证通过并设置好解析后,在证书控制台就可以看到这样的内容:
点击“下载”:
发现并没有node.js的类型。这个无所谓,选择“其他”,直接下载证书即可。这样下载的证书是最完整的。
我们在node.js服务中,需要用到2个文件:
// 私钥
xxxxx.key
// 证书
xxxxx.pem
4.启用https服务
首先, https服务需要监听 443 端口,所以在开启服务之前,先检查 443 端口是否被占用。如果已被占用,需要关闭占用的服务。
我们先搭建一个Express框架的node.js服务器(如果不知道如何搭建,请阅读 Node.js框架之Express)。
首先,我们在根目录下创建一个文件夹 cert ,用于存放私钥和证书。把下载到的两个文件(私钥xxxxx.key 和 证书xxxxx.pem)放入此文件夹,分别将私钥xxxxx.key 重命名为 private.key 和 证书xxxxx.pem重命名为 file.crt。
在 bin/www 文件中,在监听默认端口后面增加下面代码:
// ...
// server.listen(port);
// server.on('error', onError);
// server.on('listening', onListening);
// https
var https = require('https');
var fs = require('fs');
var privateKey = fs.readFileSync('./cert/private.key', 'utf8'),
certificate = fs.readFileSync('./cert/file.crt', 'utf8');
var credentials = {key: privateKey, cert: certificate};
var httpsServer = https.createServer(credentials, app);
var SSLPort = 443;
httpsServer.listen(SSLPort, function() {
console.log('OneLib https is running', SSLPort);
});
// ...
然后在浏览器中输入 https:// 和 你的网站域名进行访问;也可在本地进行调试:
https://127.0.0.1
不过在本地调试,一定会提示你证书风险或证书错误的,因为你申请到的证书在用于申请的域名的。
参考资料:
