如何配置 Nginx 和 Node 使用 SSL?
How to configure Nginx and Node to use SSL?
我是第一次尝试部署 Node 应用程序,我对 ssl 配置有一些疑问,因为这不是我的专业领域。
我正在使用 Sequelize 连接到托管的 postgres 数据库,每次尝试发出请求时,我都会收到“证书链中的自签名证书”错误。这是我的 Sequelize 连接函数:
const sequelize = new Sequelize({
database: process.env.DB_NAME,
username: process.env.DB_USERNAME,
password: process.env.DB_PASSWORD,
host: process.env.DB_HOST,
port: process.env.DB_PORT,
dialect: "postgres",
dialectOptions: {
ssl: true
}
});
我搜索了这个问题,找到了 2 个可能的解决方案:1) 在连接选项中包含证书,或 2) 添加 NODE_TLS_REJECT_UNAUTHORIZED=0 作为环境变量。关于第一个解决方案,我还没有找到关于如何使用 Sequelize 执行此操作的示例,文档甚至没有提到这一点。使用第二个解决方案它工作得很好,但我知道它不应该在生产环境中使用,因为它禁用了节点 SSL 验证。
但是,我还使用 Nginx 作为反向代理,并使用 certbot 安装了 LetsEncrypt SSL 证书,它自动将我的 nginx 服务器块配置为使用 SSL 验证。这是我的 Nginx 配置:
server {
location / {
proxy_pass http://localhost:3000;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection 'upgrade';
proxy_set_header Host $host;
proxy_cache_bypass $http_upgrade;
}
listen [::]:443 ssl ipv6only=on; # managed by Certbot
listen 443 ssl; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/{mydomain}/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/{mydomain}/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
}
如果我理解正确,因为 nginx 已经在处理 SSL 验证,我想可以执行第二个解决方案,因为 Nginx 只是将请求“重定向”到我的节点应用程序 运行 localhost:3000 在处理完 SSL 部分后通过 http。我对这个假设是否正确?如果不是,配置 Sequelize 以包含证书并避免“证书链中的自签名证书”错误的正确方法是什么?
我认为以前没有人问过这个具体问题,如果其中一些问题看起来“显而易见”,我很抱歉,这是我第一次这样做。感谢您的帮助。
我在 Node.js 有几台服务器,我 从未 将它们用于 https。所有 ssl 相关的东西我都委托给了 nginx,就像你做的一样,虽然有点简单。
你猜对了。 Nginx 将所有请求以纯文本形式传递到您的服务器,并将所有响应包装到 TLS 记录中。它工作得非常快,certbot 管理着我所有的证书。真松了一口气 ;)
我的典型配置如下所示:
server {
listen 443 ssl;
listen [::]:443 ssl;
server_name your.server.domain;
location / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_pass http://localhost:3000/;
}
ssl_certificate /etc/letsencrypt/live/your.server.domain/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/your.server.domain/privkey.pem; # managed by Certbot
}
# Redirect from HTTP to HTTPS for all servers
server {
listen 80;
listen [::]:80;
return 301 https://$host$request_uri;
}
我是第一次尝试部署 Node 应用程序,我对 ssl 配置有一些疑问,因为这不是我的专业领域。
我正在使用 Sequelize 连接到托管的 postgres 数据库,每次尝试发出请求时,我都会收到“证书链中的自签名证书”错误。这是我的 Sequelize 连接函数:
const sequelize = new Sequelize({
database: process.env.DB_NAME,
username: process.env.DB_USERNAME,
password: process.env.DB_PASSWORD,
host: process.env.DB_HOST,
port: process.env.DB_PORT,
dialect: "postgres",
dialectOptions: {
ssl: true
}
});
我搜索了这个问题,找到了 2 个可能的解决方案:1) 在连接选项中包含证书,或 2) 添加 NODE_TLS_REJECT_UNAUTHORIZED=0 作为环境变量。关于第一个解决方案,我还没有找到关于如何使用 Sequelize 执行此操作的示例,文档甚至没有提到这一点。使用第二个解决方案它工作得很好,但我知道它不应该在生产环境中使用,因为它禁用了节点 SSL 验证。
但是,我还使用 Nginx 作为反向代理,并使用 certbot 安装了 LetsEncrypt SSL 证书,它自动将我的 nginx 服务器块配置为使用 SSL 验证。这是我的 Nginx 配置:
server {
location / {
proxy_pass http://localhost:3000;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection 'upgrade';
proxy_set_header Host $host;
proxy_cache_bypass $http_upgrade;
}
listen [::]:443 ssl ipv6only=on; # managed by Certbot
listen 443 ssl; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/{mydomain}/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/{mydomain}/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
}
如果我理解正确,因为 nginx 已经在处理 SSL 验证,我想可以执行第二个解决方案,因为 Nginx 只是将请求“重定向”到我的节点应用程序 运行 localhost:3000 在处理完 SSL 部分后通过 http。我对这个假设是否正确?如果不是,配置 Sequelize 以包含证书并避免“证书链中的自签名证书”错误的正确方法是什么?
我认为以前没有人问过这个具体问题,如果其中一些问题看起来“显而易见”,我很抱歉,这是我第一次这样做。感谢您的帮助。
我在 Node.js 有几台服务器,我 从未 将它们用于 https。所有 ssl 相关的东西我都委托给了 nginx,就像你做的一样,虽然有点简单。
你猜对了。 Nginx 将所有请求以纯文本形式传递到您的服务器,并将所有响应包装到 TLS 记录中。它工作得非常快,certbot 管理着我所有的证书。真松了一口气 ;)
我的典型配置如下所示:
server {
listen 443 ssl;
listen [::]:443 ssl;
server_name your.server.domain;
location / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_pass http://localhost:3000/;
}
ssl_certificate /etc/letsencrypt/live/your.server.domain/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/your.server.domain/privkey.pem; # managed by Certbot
}
# Redirect from HTTP to HTTPS for all servers
server {
listen 80;
listen [::]:80;
return 301 https://$host$request_uri;
}