摘要：當(dāng)時結(jié)合本站的部署經(jīng)驗(yàn)，給大家詳細(xì)介紹了部署免費(fèi)。截止年月日，由實(shí)時統(tǒng)計報告顯示，在統(tǒng)計的多萬活躍網(wǎng)站中，已經(jīng)有萬約的站點(diǎn)部署了證書服務(wù)。

隨著互聯(lián)網(wǎng)快速發(fā)展，互聯(lián)網(wǎng)信息安全越來越受到大家重視，HTTPS 應(yīng)該是近兩年各大廠商都在盡力普及的技術(shù)之一。國內(nèi)大廠基本上已經(jīng)全面普及了 HTTPS。

本文首發(fā)于我的個人網(wǎng)站：聽說 - https://tasaid.com/，建議在我的個人網(wǎng)站閱讀，擁有更好的閱讀體驗(yàn)。

前端開發(fā) QQ 群：377786580

早在 2016 年底，我就寫過 《 從 HTTP 到 HTTPS 系列 》文章來講解 HTTPS。當(dāng)時結(jié)合本站的部署經(jīng)驗(yàn)，給大家詳細(xì)介紹了 《 IIS 部署免費(fèi) HTTPS 》。

這篇文章就跟大家介紹一下 Node.js 如何部署免費(fèi) HTTPS 以及簡單的部署 HTTP/2。

截止 2018 年 03 月 13 日，由 Let"s Encrypt 實(shí)時統(tǒng)計報告 顯示，在統(tǒng)計的 6930 多萬活躍網(wǎng)站中，已經(jīng)有 5350 萬（約 77%）的站點(diǎn)部署了 HTTPS 證書服務(wù)。

同時 Google 透明度報告 - 網(wǎng)絡(luò)上的 HTTPS 加密 中，統(tǒng)計了使用 Chrome 瀏覽器，訪問的站點(diǎn)統(tǒng)計中，HTTPS 使用率的增長情況：

而在今年 2 月份，Chrome 團(tuán)隊(duì)也宣布，將在 2018 年 7 月份發(fā)布的 Chrome 68 中，將沒有部署 HTTPS 的網(wǎng)站標(biāo)記為 "不安全"。

簡而言之，HTTPS 大勢所趨。

早在 《 從 HTTP 到 HTTPS - IIS 部署免費(fèi) HTTPS 》一文中，我就指出了 Let"s Encrypt 免費(fèi)證書的優(yōu)勢：

由 ISRG（Internet Security Research Group，互聯(lián)網(wǎng)安全研究小組）提供服務(wù)，免費(fèi)、訪問速度快，穩(wěn)定等。

所以這次部署的證書也是圍繞 Let"s Encrypt 展開。

由于 js 生態(tài)圈的繁華，所以想找一個現(xiàn)有的包是件很輕松的事情，greenlock-express 這個包就幫助我們封裝了 Let"s Enctrypt 證書的部署，只需要引入這個包并使用，就可以：

自動注冊 Let"s Encrypt 證書

自動續(xù)訂( 80 天左右)，且服務(wù)器無需重啟

支持虛擬主機(jī)

并且 greenlock 相關(guān)的證書生態(tài)圈十分完善，同樣有支持 koa 的 greenlock-koa。

通過 npm 安裝 greenlock-express：

$ npm install --save greenlock-express@2.x

使用起來非常簡單，這是 greenlock-express 默認(rèn)提供的 demo：

const greenlock = require("greenlock-express")

require("greenlock-express").create({
  // 測試
  server: "staging",
  // 聯(lián)系郵箱
  email: "john.doe@example.com",
  // 是否同意 Let"s Encrypt 條款... 這必須為 true 啊，不然走不下去
  agreeTos: true,
  // 申請的域名列表，不支持通配符
  approveDomains: [ "tasaid.com", "www.tasaid.com" ],
  // 綁定 express app
  app: require("express")().use("/", function (req, res) {
    res.end("Hello, World!");
  })
}).listen(80, 443)

證書存在 ~/letsencrypt。

當(dāng)然上面代碼只能用于測試/開發(fā)環(huán)境，因?yàn)樗]有申請一個有效的證書，而是生成了一個自簽名的證書（跟以前的 12306 自簽證書一樣），用于在開發(fā)環(huán)境中調(diào)試。

greenlock-express 的 create(options) 函數(shù)參數(shù)簽名如下：

interface Options {
  /**
   * Express app
   */
  app: Express
  /*
   * 遠(yuǎn)程服務(wù)器
   * 測試環(huán)境中可用為 staging
   * 生產(chǎn)環(huán)境中為 https://acme-v01.api.letsencrypt.org/directory
   */
  server: string
  /**
   * 用于接收 let"s encrypt 協(xié)議的郵箱
   */
  email: string
  /**
   * 是否同意協(xié)議
   */
  agreeTos: boolean
  /**
   * 在注冊域名獲取證書前，會執(zhí)行這個回調(diào)函數(shù)
   * string[]: 一組需要注冊證書的域名
   * 函數(shù): 第一個參數(shù)跟 Options 格式差不多，第二個參數(shù)是當(dāng)前自動獲取的域名信息，第三個參數(shù)是在處理完之后傳遞的回調(diào)函數(shù)
   */
  approveDomains: string[] | (opts, certs: cb) => any
  /**
   * 更新證書最大天數(shù) （以毫秒為單位）
   */
  renewWithin: number
  /**
   * 更新證書的最小天數(shù)（以毫秒為單位）
   */
  renewBy: number
}

經(jīng)過測試，在真實(shí)的生產(chǎn)環(huán)境中， approveDomains 必須為函數(shù)，傳數(shù)組的話不會生效。

生產(chǎn)環(huán)境中部署還需要做一些配置改動和引入一些包。

更新包：

$ npm i --save greenlock-express@2.x
$ npm i --save le-challenge-fs
$ npm i --save le-store-certbot
$ npm i --save redirect-https

生產(chǎn)代碼：

const greenlock = require("greenlock-express")
const express = require("express")

const app = express()


const lex = greenlock.create({
  // 注意這里要成這個固定地址
  server: "https://acme-v01.api.letsencrypt.org/directory",
  challenges: { 
    "http-01": require("le-challenge-fs").create({ webrootPath: "~/letsencrypt/var/acme-challenges" }) 
  },
  store: require("le-store-certbot").create({ 
    webrootPath: "~/letsencrypt/srv/www/:hostname/.well-known/acme-challenge" 
  }),
  approveDomains: (opts: any, certs: any, cb: any) => {
    appLog.info("approveDomains", { opts, certs })
    if (certs) {
      /*
       * 注意這里如果是這樣寫的話，一定要對域名做校驗(yàn)
       * 否則其他人可以通過將域名指向你的服務(wù)器地址，導(dǎo)致你注冊了其他域名的證書
       * 從而造成安全性問題
       */
      // opts.domains = certs.altnames
      opts.domains = [ "tasaid.com", "www.tasaid.com" ]
    } else {
      opts.email = "你的郵箱@live.com"
      opts.agreeTos = true
    }
    cb(null, { options: opts, certs: certs })
  },
})

// 這里的 redirect-https 用于自動將 HTTP 請求跳到 HTTPS 上
require("http").createServer(
  lex.middleware(
    require("redirect-https")()
   )
  ).listen(80, function () {
    console.log("Listening", `for ACME http-01 challenges on: ${JSON.stringify(this.address())}`)
})
// 綁定 HTTPS 端口
require("https").createServer(
    lex.httpsOptions, 
    lex.middleware(app)
  ).listen(443, function () {
    console.log(("App is running at http://localhost:%d in %s mode"), app.get("port"), app.get("env"))
    console.log("Press CTRL-C to stop
")
})

如果沒有生效，可以檢查下 ~/letsencrypt 的證書信息，和 443 端口是否打開。

HTTP/2 是 HTTP/1.1 的升級版，主要來說改進(jìn)了這些地方：

二進(jìn)制協(xié)議：采用二進(jìn)制流

多路復(fù)用：一次請求多次復(fù)用管道

服務(wù)器推送：解決 HTTP/1.x 時代最大的痛點(diǎn)

值的注意的是，HTTP/2 是支持 HTTP 協(xié)議的，只不過瀏覽器廠商都不愿意支持 HTTP，所以基本上可以認(rèn)為，用上 HTTP/2 的前置條件是必須部署 HTTPS。

早在 2009 年，Google 開發(fā)了一個實(shí)驗(yàn)性協(xié)議，叫做 SPDY，目的解決 HTTP/1.x 中的一些設(shè)計缺陷。在 SPDY 發(fā)布幾年后，這個新的實(shí)驗(yàn)性協(xié)議得到了 Chrome、Firefox 和 Opera 的支持，應(yīng)用越來越廣泛。然后 HTTP 工作組 (HTTP-WG) 在這個 SPDY 的基礎(chǔ)上，設(shè)計了 HTTP/2，所以可以說 SPDY 是 HTTP/2 的前身。

關(guān)于 HTTP/2 的詳情可以參考 這篇文章。

引入 HTTP/2 在 Node.js 中也十分簡單，只需要引入 spdy 包即可：

$ npm i --save spdy

然后我們把上一節(jié)的代碼做一點(diǎn)修改即可支持 HTTP/2：

const greenlock = require("greenlock-express")
const express = require("express")
// HTTP/2
const spdy = require("spdy")

const app = express()


const lex = greenlock.create({
  // 注意這里要成這個固定地址
  server: "https://acme-v01.api.letsencrypt.org/directory",
  challenges: { 
    "http-01": require("le-challenge-fs").create({ webrootPath: "~/letsencrypt/var/acme-challenges" }) 
  },
  store: require("le-store-certbot").create({ 
    webrootPath: "~/letsencrypt/srv/www/:hostname/.well-known/acme-challenge" 
  }),
  approveDomains: (opts: any, certs: any, cb: any) => {
    appLog.info("approveDomains", { opts, certs })
    if (certs) {
      /*
       * 注意這里如果是這樣寫的話，一定要對域名做校驗(yàn)
       * 否則其他人可以通過將域名指向你的服務(wù)器地址，導(dǎo)致你注冊了其他域名的證書
       * 從而造成安全性問題
       */
      // opts.domains = certs.altnames
      opts.domains = [ "tasaid.com", "www.tasaid.com" ]
    } else {
      opts.email = "你的郵箱@live.com"
      opts.agreeTos = true
    }
    cb(null, { options: opts, certs: certs })
  },
})

// 這里的 redirect-https 用于自動將 HTTP 請求跳到 HTTPS 上
require("http").createServer(
  lex.middleware(
    require("redirect-https")()
   )
  ).listen(80, function () {
    console.log("Listening", `for ACME http-01 challenges on: ${JSON.stringify(this.address())}`)
})

// HTTP/2
spdy.createServer(lex.httpsOptions, lex.middleware(app)).listen(443, function () {
  console.log("Listening https", `for ACME tls-sni-01 challenges and serve app on: ${JSON.stringify(this.address())}`)
})

至于 HTTP/2 相關(guān)的技術(shù)應(yīng)用，會在后續(xù)篇幅中再為大家講解。

本文首發(fā)于我的個人網(wǎng)站：聽說 - https://tasaid.com/，建議在我的個人網(wǎng)站閱讀，擁有更好的閱讀體驗(yàn)。

前端開發(fā) QQ 群：377786580