无法将 Node.js 中的 IP 用于自签名证书
Cannot use IP in Node.js for self-signed certificate
我正在尝试在 Node.js 中使用 HTTP 自签名证书。
我使用我编写的以下脚本生成了证书:
generate.sh
#!/bin/bash
read -p "FQDN: " FQDN
# for easy testing
rm ROOT.*
rm SERVER.*
openssl genrsa 4096 > ROOT.key
openssl req -x509 -nodes -sha256 -new -key ROOT.key -days 365 -subj "/C=AU/CN=example" > ROOT.crt
openssl req -newkey rsa:4096 -nodes -sha256 -keyout SERVER.key -subj "/C=AU/CN=${FQDN}" > SERVER.csr
openssl x509 -days 365 -req -in SERVER.csr -CA ROOT.crt -CAkey ROOT.key -CAcreateserial > SERVER.crt
我正在尝试使用以下方法测试证书:
test.js
let fs = require('fs')
let https = require('https')
// HTTP server
https.createServer({
key: fs.readFileSync('SERVER.key'),
cert: fs.readFileSync('SERVER.crt'),
ca: fs.readFileSync('ROOT.crt')
}, function (req, res) {
res.writeHead(200)
res.end('Hello world')
}).listen(4433)
// HTTP request
let req = https.request({
hostname: '127.0.0.1',
port: 4433,
path: '/',
method: 'GET',
ca: fs.readFileSync('ROOT.crt')
}, function (res) {
res.on('data', function (data) {
console.log(data.toString())
})
})
req.end()
然而,经测试:
> node test.js
Error: Hostname/IP doesn't match certificate's altnames: "IP: 127.0.0.1 is not in the cert's list: "
这看起来很奇怪,因为如果我打印证书证书列表,它会显示 IP 在那里?
如果我使用 localhost 作为 FQDN 和 host(在请求中),它确实有效。
我错过了什么?
编辑:
curl --cacert ROOT.crt https://127.0.0.1:4433 没有错误地完成,所以我在 Node.js 代码中遗漏了什么?
我正在 IRC 上与您交谈,但我会在此处留下信息以防对其他人有帮助。
通过 node 的 tls 模块的源代码,我们可以看到它希望 altnames 具有非常特定的格式:
https://github.com/nodejs/node/blob/v5.0.0/lib/tls.js#L108-L145
特别是那一行:
var option = altname.match(/^(DNS|IP Address|URI):(.*)$/);
稍后,它决定被检查主机的格式,如果它是 IP 地址,它会在从 altnames 中提取的 IP 地址中查找它。因此,证书将失败,除非它具有 "IP Address:127.0.0.1" 格式的别名,因为这是 Node 将其放入 IP 列表中的唯一方式,当它稍后辨别出它正在测试一个 IP 地址时,它会检查该列表。
我不知道这是否符合证书 altnames 字段格式的规范,但它应该会为您提供生成 Node 将接受的证书的路径。
或者,您可以在套接字或 http 请求的连接选项中提供自己的 checkServerIdentity 函数(应该传递给套接字):
这是我以前不得不做的,但我相信 altname 匹配可能比我上次遇到这个问题时更新。
感谢 Kris Reeves 为我指明了正确的方向。
问题如前所述,证书丢失 subjectAltNames,并且以兼容 Node 的格式获取它们并不是那么简单(必须与 X509v3 兼容)。
最后的Makefile结果是这样的:
.PHONY: clean default
FQDN ?= 127.0.0.1
default: SERVER.crt
clean:
rm -f openssl.conf
rm -f ROOT.*
rm -f SERVER.*
openssl.conf:
cat /etc/ssl/openssl.cnf > openssl.conf
echo "[ san_env ]" >> openssl.conf
echo "subjectAltName=$$""{ENV::SAN}" >> openssl.conf
ROOT.key:
openssl genrsa 4096 > ROOT.key
ROOT.crt: ROOT.key
openssl req \
-new \
-x509 \
-nodes \
-sha256 \
-key ROOT.key \
-days 365 \
-subj "/C=AU/CN=example" \
-out ROOT.crt
SERVER.csr: openssl.conf
SAN=IP:$(FQDN) openssl req \
-reqexts san_env \
-config openssl.conf \
-newkey rsa:4096 \
-nodes -sha256 \
-keyout SERVER.key \
-subj "/C=AU/CN=$(FQDN)" \
-out SERVER.csr
SERVER.crt: openssl.conf ROOT.key ROOT.crt SERVER.csr
SAN=IP:$(FQDN) openssl x509 \
-req \
-extfile openssl.conf \
-extensions san_env \
-days 365 \
-in SERVER.csr \
-CA ROOT.crt \
-CAkey ROOT.key \
-CAcreateserial \
-out SERVER.crt
希望这可以帮助其他想要使用仅具有 IP 的自签名证书的人。
$ make FQDN=127.0.0.1
我正在尝试在 Node.js 中使用 HTTP 自签名证书。
我使用我编写的以下脚本生成了证书:
generate.sh
#!/bin/bash
read -p "FQDN: " FQDN
# for easy testing
rm ROOT.*
rm SERVER.*
openssl genrsa 4096 > ROOT.key
openssl req -x509 -nodes -sha256 -new -key ROOT.key -days 365 -subj "/C=AU/CN=example" > ROOT.crt
openssl req -newkey rsa:4096 -nodes -sha256 -keyout SERVER.key -subj "/C=AU/CN=${FQDN}" > SERVER.csr
openssl x509 -days 365 -req -in SERVER.csr -CA ROOT.crt -CAkey ROOT.key -CAcreateserial > SERVER.crt
我正在尝试使用以下方法测试证书:
test.js
let fs = require('fs')
let https = require('https')
// HTTP server
https.createServer({
key: fs.readFileSync('SERVER.key'),
cert: fs.readFileSync('SERVER.crt'),
ca: fs.readFileSync('ROOT.crt')
}, function (req, res) {
res.writeHead(200)
res.end('Hello world')
}).listen(4433)
// HTTP request
let req = https.request({
hostname: '127.0.0.1',
port: 4433,
path: '/',
method: 'GET',
ca: fs.readFileSync('ROOT.crt')
}, function (res) {
res.on('data', function (data) {
console.log(data.toString())
})
})
req.end()
然而,经测试:
> node test.js
Error: Hostname/IP doesn't match certificate's altnames: "IP: 127.0.0.1 is not in the cert's list: "
这看起来很奇怪,因为如果我打印证书证书列表,它会显示 IP 在那里?
如果我使用 localhost 作为 FQDN 和 host(在请求中),它确实有效。
我错过了什么?
编辑:
curl --cacert ROOT.crt https://127.0.0.1:4433 没有错误地完成,所以我在 Node.js 代码中遗漏了什么?
我正在 IRC 上与您交谈,但我会在此处留下信息以防对其他人有帮助。
通过 node 的 tls 模块的源代码,我们可以看到它希望 altnames 具有非常特定的格式:
https://github.com/nodejs/node/blob/v5.0.0/lib/tls.js#L108-L145
特别是那一行:
var option = altname.match(/^(DNS|IP Address|URI):(.*)$/);
稍后,它决定被检查主机的格式,如果它是 IP 地址,它会在从 altnames 中提取的 IP 地址中查找它。因此,证书将失败,除非它具有 "IP Address:127.0.0.1" 格式的别名,因为这是 Node 将其放入 IP 列表中的唯一方式,当它稍后辨别出它正在测试一个 IP 地址时,它会检查该列表。
我不知道这是否符合证书 altnames 字段格式的规范,但它应该会为您提供生成 Node 将接受的证书的路径。
或者,您可以在套接字或 http 请求的连接选项中提供自己的 checkServerIdentity 函数(应该传递给套接字):
这是我以前不得不做的,但我相信 altname 匹配可能比我上次遇到这个问题时更新。
感谢 Kris Reeves 为我指明了正确的方向。
问题如前所述,证书丢失 subjectAltNames,并且以兼容 Node 的格式获取它们并不是那么简单(必须与 X509v3 兼容)。
最后的Makefile结果是这样的:
.PHONY: clean default
FQDN ?= 127.0.0.1
default: SERVER.crt
clean:
rm -f openssl.conf
rm -f ROOT.*
rm -f SERVER.*
openssl.conf:
cat /etc/ssl/openssl.cnf > openssl.conf
echo "[ san_env ]" >> openssl.conf
echo "subjectAltName=$$""{ENV::SAN}" >> openssl.conf
ROOT.key:
openssl genrsa 4096 > ROOT.key
ROOT.crt: ROOT.key
openssl req \
-new \
-x509 \
-nodes \
-sha256 \
-key ROOT.key \
-days 365 \
-subj "/C=AU/CN=example" \
-out ROOT.crt
SERVER.csr: openssl.conf
SAN=IP:$(FQDN) openssl req \
-reqexts san_env \
-config openssl.conf \
-newkey rsa:4096 \
-nodes -sha256 \
-keyout SERVER.key \
-subj "/C=AU/CN=$(FQDN)" \
-out SERVER.csr
SERVER.crt: openssl.conf ROOT.key ROOT.crt SERVER.csr
SAN=IP:$(FQDN) openssl x509 \
-req \
-extfile openssl.conf \
-extensions san_env \
-days 365 \
-in SERVER.csr \
-CA ROOT.crt \
-CAkey ROOT.key \
-CAcreateserial \
-out SERVER.crt
希望这可以帮助其他想要使用仅具有 IP 的自签名证书的人。
$ make FQDN=127.0.0.1