统计了使用 Chrome 浏览器,访问的站点统计中,HTTPS 使用率的增长情况:
而在今年 2 月份,Chrome 团队也宣布,将在 2018 年 7 月份发布的 Chrome 68 中,将没有部署 HTTPS 的网站标记为 "不安全"。
简而言之,HTTPS 大势所趋。
Node.js 部署 HTTPS
由 ISRG(Internet Security Research Group,互联网安全研究小组)提供服务,免费、访问速度快,稳定等。
所以这次部署的证书也是围绕 Let's Encrypt 展开。
greenlock-express
由于 js 生态圈的繁华,所以想找一个现有的包是件很轻松的事情,greenlock-express 这个包就帮助我们封装了 Let's Enctrypt 证书的部署,只需要引入这个包并使用,就可以:
- 自动注册
Let's Encrypt证书 - 自动续订( 80 天左右),且服务器无需重启
- 支持虚拟主机
并且 greenlock 相关的证书生态圈十分完善,同样有支持 koa 的 greenlock-koa。
安装和使用
通过 npm 安装 greenlock-express:
$ npm install --save greenlock-express@2.x使用起来非常简单,这是 greenlock-express 默认提供的 demo:
const greenlock = require('greenlock-express')require('greenlock-express').create({// 测试server: 'staging',// 联系邮箱email: 'john.doe@example.com',// 是否同意 Let's Encrypt 条款... 这必须为 true 啊,不然走不下去agreeTos: true,// 申请的域名列表,不支持通配符approveDomains: [ 'tasaid.com', 'www.tasaid.com' ],// 绑定 express appapp: require('express')().use('/', function (req, res) {res.end('Hello, World!');})
}).listen(80, 443)证书存在 ~/letsencrypt。
当然上面代码只能用于测试/开发环境,因为它并没有申请一个有效的证书,而是生成了一个自签名的证书(跟以前的 12306 自签证书一样),用于在开发环境中调试。
API
greenlock-express 的 create(options) 函数参数签名如下:
interface Options {/*** Express app*/app: Express/** 远程服务器* 测试环境中可用为 staging* 生产环境中为 https://acme-v01.api.letsencrypt.org/directory*/server: string/*** 用于接收 let's encrypt 协议的邮箱*/email: string/*** 是否同意协议*/agreeTos: boolean/*** 在注册域名获取证书前,会执行这个回调函数* string[]: 一组需要注册证书的域名* 函数: 第一个参数跟 Options 格式差不多,第二个参数是当前自动获取的域名信息,第三个参数是在处理完之后传递的回调函数*/approveDomains: string[] | (opts, certs: cb) => any/*** 更新证书最大天数 (以毫秒为单位)*/renewWithin: number/*** 更新证书的最小天数(以毫秒为单位)*/renewBy: number
}经过测试,在真实的生产环境中, approveDomains 必须为函数,传数组的话不会生效。
生产环境
生产环境中部署还需要做一些配置改动和引入一些包。
更新包:
$ npm i --save greenlock-express@2.x
$ npm i --save le-challenge-fs
$ npm i --save le-store-certbot
$ npm i --save redirect-https生产代码:
const greenlock = require('greenlock-express')
const express = require('express')const app = express()const lex = greenlock.create({// 注意这里要成这个固定地址server: 'https://acme-v01.api.letsencrypt.org/directory',challenges: { 'http-01': require('le-challenge-fs').create({ webrootPath: '~/letsencrypt/var/acme-challenges' }) },store: require('le-store-certbot').create({ webrootPath: '~/letsencrypt/srv/www/:hostname/.well-known/acme-challenge' }),approveDomains: (opts: any, certs: any, cb: any) => {appLog.info('approveDomains', { opts, certs })if (certs) {/** 注意这里如果是这样写的话,一定要对域名做校验* 否则其他人可以通过将域名指向你的服务器地址,导致你注册了其他域名的证书* 从而造成安全性问题*/// opts.domains = certs.altnamesopts.domains = [ 'tasaid.com', 'www.tasaid.com' ]} else {opts.email = '你的邮箱@live.com'opts.agreeTos = true}cb(null, { options: opts, certs: certs })},
})// 这里的 redirect-https 用于自动将 HTTP 请求跳到 HTTPS 上
require('http').createServer(lex.middleware(require('redirect-https')())).listen(80, function () {console.log('Listening', `for ACME http-01 challenges on: ${JSON.stringify(this.address())}`)
})
// 绑定 HTTPS 端口
require('https').createServer(lex.httpsOptions, lex.middleware(app)).listen(443, function () {console.log(('App is running at http://localhost:%d in %s mode'), app.get('port'), app.get('env'))console.log('Press CTRL-C to stop\n')
})如果没有生效,可以检查下 ~/letsencrypt 的证书信息,和 443 端口是否打开。
部署 HTTP/2
HTTP/2 是 HTTP/1.1 的升级版,主要来说改进了这些地方:
- 二进制协议:采用二进制流
- 多路复用:一次请求多次复用管道
- 服务器推送:解决 HTTP/1.x 时代最大的痛点
值的注意的是,HTTP/2 是支持 HTTP 协议的,只不过浏览器厂商都不愿意支持 HTTP,所以基本上可以认为,用上 HTTP/2 的前置条件是必须部署 HTTPS。
SPDY
早在 2009 年,Google 开发了一个实验性协议,叫做 SPDY,目的解决 HTTP/1.x 中的一些设计缺陷。在 SPDY 发布几年后,这个新的实验性协议得到了 Chrome、Firefox 和 Opera 的支持,应用越来越广泛。然后 HTTP 工作组 (HTTP-WG) 在这个 SPDY 的基础上,设计了 HTTP/2,所以可以说 SPDY 是 HTTP/2 的前身。
关于 HTTP/2 的详情可以参考 这篇文章。
部署 HTTP/2
引入 HTTP/2 在 Node.js 中也十分简单,只需要引入 spdy 包即可:
$ npm i --save spdy然后我们把上一节的代码做一点修改即可支持 HTTP/2:
const greenlock = require('greenlock-express')
const express = require('express')
// HTTP/2
const spdy = require('spdy')const app = express()const lex = greenlock.create({// 注意这里要成这个固定地址server: 'https://acme-v01.api.letsencrypt.org/directory',challenges: { 'http-01': require('le-challenge-fs').create({ webrootPath: '~/letsencrypt/var/acme-challenges' }) },store: require('le-store-certbot').create({ webrootPath: '~/letsencrypt/srv/www/:hostname/.well-known/acme-challenge' }),approveDomains: (opts: any, certs: any, cb: any) => {appLog.info('approveDomains', { opts, certs })if (certs) {/** 注意这里如果是这样写的话,一定要对域名做校验* 否则其他人可以通过将域名指向你的服务器地址,导致你注册了其他域名的证书* 从而造成安全性问题*/// opts.domains = certs.altnamesopts.domains = [ 'tasaid.com', 'www.tasaid.com' ]} else {opts.email = '你的邮箱@live.com'opts.agreeTos = true}cb(null, { options: opts, certs: certs })},
})// 这里的 redirect-https 用于自动将 HTTP 请求跳到 HTTPS 上
require('http').createServer(lex.middleware(require('redirect-https')())).listen(80, function () {console.log('Listening', `for ACME http-01 challenges on: ${JSON.stringify(this.address())}`)
})// HTTP/2
spdy.createServer(lex.httpsOptions, lex.middleware(app)).listen(443, function () {console.log('Listening https', `for ACME tls-sni-01 challenges and serve app on: ${JSON.stringify(this.address())}`)
})至于 HTTP/2 相关的技术应用,会在后续篇幅中再为大家讲解。
