Проверка сертификата клиента на стороне сервера, ошибка DEPTH_ZERO_SELF_SIGNED_CERT

Я использую node 0.10.26 и пытаюсь установить соединение https с проверкой клиента.

Код сервера:

var https = require('https');
var fs = require('fs');

process.env.NODE_TLS_REJECT_UNAUTHORIZED = "0";

var options = {
    key: fs.readFileSync('ssl/server1.key'),
    cert: fs.readFileSync('ssl/server1.pem'),
    requestCert: true,
    rejectUnauthorized: false,
};

var server = https.createServer(options, function (req, res) {
    if (req.client.authorized) {
        res.writeHead(200, {"Content-Type":"application/json"});
        res.end('{"status":"approved"}');
        console.log("Approved Client ", req.client.socket.remoteAddress);
    } else {
        console.log("res.connection.authroizationError:  " + res.connection.authorizationError);
        res.writeHead(403, {"Content-Type":"application/json"});
        res.end('{"status":"denied"}');
        console.log("Denied Client " , req.client.socket.remoteAddress);
    }
});

server.on('error', function(err) {
    console.log("server.error: "  + err);
});

server.on("listening", function () {
    console.log("Server listeining");
});

server.listen(5678);

Клиентский код:

var https = require('https');
var fs = require('fs');

var options = {
    host: 'localhost',
    port: 5678,
    method: 'GET',
    path: '/',
    headers: {},
    agent: false,
    key: fs.readFileSync('ssl/client2.key'),
    cert: fs.readFileSync('ssl/client2.pem'),
    ca: fs.readFileSync('ssl/ca.pem')
};

process.env.NODE_TLS_REJECT_UNAUTHORIZED = "0";

var req = https.request(options, function(res) {
    console.log(res.req.connection.authorizationError);
});

req.on("error", function (err) {
    console.log('error: ' + err);
});

req.end();

Я создал сертификаты со следующими командами, каждый раз предоставляя результат "uname -n" как "Common Name":

openssl genrsa -out ca.key 4096
openssl req -x509 -new -nodes -key ca.key -days 999 -out ca.pem

openssl genrsa -out server1.key  1024
openssl req -new -key server1.key -out server1.csr
openssl x509 -req -days 999 -in server1.csr -CA ca.pem  -CAkey ca.key -set_serial 01 -out server1.pem

openssl genrsa  -out client1.key 1024
openssl req -new -key client1.key  -out client1.csr
openssl  x509  -req -days 999 -in client1.csr  -CA ca.pem  -CAkey ca.key  -set_serial 01     -out client1.pem

openssl genrsa  -out server2.key 1024
openssl req -new -key server2.key  -out server2.csr
openssl  x509  -req -days 999 -in server2.csr -CA server1.pem -CAkey server1.key -     set_serial 02 -out server2.pem

openssl  genrsa -out client2.key 1024
openssl req -new -key client2.key -out client2.csr
openssl x509 -req -days 999 -in client2.csr -CA client1.pem -CAkey client1.key  -set_serial 02 -out client2.pem

Я запускаю клиент и сервер со всеми комбинациями сертификатов клиентов и серверов (то есть: [(server1, client1), (server1, client2), (server2, client1), (server2, client2)] и для каждого комбинация этого сервера была протестирована как со значением по умолчанию для поля "агент", так и с "агентом", установленным на "false".

Каждый раз, когда я запускал client.js, res.req.connection.authorizationError был установлен в DEPTH_ZERO_SELF_SIGNED_CERT.

Как установить безопасное соединение в node с проверкой сертификата клиента?

ОТВЕТЫ

Ответ 1

Я считаю, что у вас две проблемы: одна с кодом и одна с сертификатами.

Проблема с кодом на вашем сервере. Вы не указываете CA для проверки клиентских сертификатов с помощью свойства options, которое у вас есть в вашем клиентском коде:

ca: fs.readFileSync('ssl/ca.pem'),

Вторая проблема - та, которая действительно вызывает ошибку DEPTH_ZERO_SELF_SIGNED_CERT. Вы предоставляете все свои сертификаты - CA, сервер и клиент - такое же Distinguished Name. Когда сервер извлекает информацию эмитента из сертификата клиента, он видит, что DN эмитента совпадает с DN сертификата клиента и заключает, что сертификат клиента самоподписан.

Попробуйте восстановить сертификаты, предоставив каждому уникальное общее имя (чтобы сделать DN уникальным). Например, назовите свой сертификат CA "Foo CA", ваш сертификат сервера - имя вашего хоста (в данном случае - "localhost" ), а ваш клиент - что-то еще (например, "Foo Client 1" ).

Ответ 2

Для тех, кто хочет использовать самозаверяющий сертификат, ответ заключается в том, чтобы добавить rejectUnauthorized: false в параметры https.request.

Ответ 3

Это работало для меня:

process.env.NODE_TLS_REJECT_UNAUTHORIZED = "0";

Примечание. Отправка ответа, чтобы он мог помочь другим в будущем.

Ответ 4

Несмотря на длинные строки описания на этой странице, я все еще получил ошибку "UNABLE_TO_VERIFY_LEAF_SIGNATURE" на стороне клиента с помощью этого рецепта. Может быть, у меня что-то не так, следуя комментарию о рашимото.

Отсылая книгу Professional Node.js ', я нашел еще один способ успешно протестировать HTTPS с проверкой сертификата клиента. < ш > Вот моя история.
Установив requestCert: true на стороне сервера, сервер пытается проверить сертификат клиента. Но ЦС по умолчанию не проверяет самозаверяющий сертификат клиента. Я могу успешно пройти тест с помощью простого трюка - скопируйте клиентский сертификат и скажите, что это центр сертификации.

Я повторно использовал оригинальный код и немного изменил его, чтобы он работал. Большая разница заключается в создании файлов сертификатов.

Создание файлов сертификата: 

# create client private key
openssl genrsa -out client2.key
openssl req -new -key client2.key -out client2.csr
# create client certificate
openssl x509 -req -in client2.csr -signkey client2.key -out client2.pem

# create server private key and certificate
openssl genrsa -out server1.key
openssl req -new -key server1.key -out server1.csr
openssl x509 -req -in server1.csr -signkey server1.key -out server1.pem

# * Important *: create fake CA with client certificate for test purpose
cp client2.pem fake_ca.pem

Код сервера: 

var options = {
    key: fs.readFileSync('ssl/server1.key'),
    cert: fs.readFileSync('ssl/server1.pem'),
    ca: [fs.readFileSync('ssl/fake_ca.pem')], // Line added
    requestCert: true,
    rejectUnauthorized: false,
};

Клиентский код: 

    key: fs.readFileSync('ssl/client2.key'),
    cert: fs.readFileSync('ssl/client2.pem'),
    //ca: fs.readFileSync('ssl/ca.pem') // Line commented
};

process.env.NODE_TLS_REJECT_UNAUTHORIZED = "0";
var req = https.request(options, function(res) {
    //console.log(res.req.connection.authorizationError);
    console.log("statusCode:", res.statusCode);
    res.on('data', function(d) {
      console.log('data:', d.toString());
    });
});
req.on("error", function (err) {
    console.log('error: ' + err);
});
req.end();

Ответ 5

Как упоминалось выше, есть кувалда, чтобы забить ваш гвоздь, используя rejectUnauthorized: false.

Более разумным вариантом, с точки зрения безопасности, было бы спросить пользователя, если он хочет принять и сохранить самоподписанный серверный сертификат, как это делает браузер (или SSH).

Это потребует:

(1) Что NodeJS выбрасывает исключение, которое содержит сертификат сервера и

(2), что приложение вызывает https.request с сохраненным сертификатом в свойстве ca: (см. выше для описания ca) после того, как сертификат был принят вручную.

Кажется, что NodeJS не делает (1), делая невозможным (2)?

Еще лучше с точки зрения безопасности было бы использовать обсерваторию EFF SSL, чтобы сделать суждение, основанное на толпе, на достоверность самозаверяющего сертификата. Опять же, для этого требуется NodeJS (1).

Я думаю, что разработчику необходимо улучшить NodeJS по отношению к (1)...

Ответ 6

Просто добавьте strictSSL: false к вашему options.

Ответ 7

Если у вас есть только самоподписанный сертификат .pem(например,/tmp/ca-keyAndCert.pem), будут работать следующие параметры:

var options = {
      url: 'https://<MYHOST>:<MY_PORT>/',
      key: fs.readFileSync('/tmp/ca-keyAndCert.pem'),
      cert: fs.readFileSync('/tmp/ca-keyAndCert.pem'),
      requestCert: false,
      rejectUnauthorized: false
};