穩(wěn)定度: 2 - 穩(wěn)定
通過(guò)require('tls')來(lái)使用這個(gè)模塊�。
tls模塊使用 OpenSSL 來(lái)提供傳輸層的安全 和/或 安全socket層:已加密的流通信���。
TLS/SSL 是一種公/私鑰架構(gòu)�����。每個(gè)客戶端和每個(gè)服務(wù)器都必須有一個(gè)私鑰�����。一個(gè)私鑰通過(guò)像如下的方式創(chuàng)建:
openssl genrsa -out ryans-key.pem 2048
所有的服務(wù)器和部分的客戶端需要一個(gè)證書�。證書是被 CA 簽名或自簽名的公鑰。獲取一個(gè)證書第一步是創(chuàng)建一個(gè)“證書簽署請(qǐng)求(Certificate Signing Request)”(CSR)文件���。通過(guò):
openssl req -new -sha256 -key ryans-key.pem -out ryans-csr.pem
要通過(guò) CSR 創(chuàng)建一個(gè)自簽名證書����,通過(guò):
openssl x509 -req -in ryans-csr.pem -signkey ryans-key.pem -out ryans-cert.pem
另外�����,你也可以把 CSR 交給一個(gè) CA 請(qǐng)求簽名。
為了完全向前保密(PFS)���,需要產(chǎn)生一個(gè) 迪菲-赫爾曼 參數(shù):
openssl dhparam -outform PEM -out dhparam.pem 2048
創(chuàng)建.pfx或.p12��,通過(guò):
openssl pkcs12 -export -in agent5-cert.pem -inkey agent5-key.pem \
-certfile ca-cert.pem -out agent5.pfx
- in: 證書
- inkey: 私鑰
- certfile: 將所有
CA certs串聯(lián)在一個(gè)文件中,就像cat ca1-cert.pem ca2-cert.pem > ca-cert.pem���。
客戶端發(fā)起的重新協(xié)商攻擊的減緩
TLS 協(xié)議讓客戶端可以重新協(xié)商某些部分的 TLS 會(huì)話�。不幸的是��,會(huì)話重協(xié)商需要不相稱的服務(wù)器端資源����,這它可能成為潛在的 DOS 攻擊。
為了減緩這種情況�,重新協(xié)商被限制在了每10分鐘最多3次。當(dāng)超過(guò)閥值時(shí)��,tls.TLSSocket會(huì)觸發(fā)一個(gè)錯(cuò)誤����。閥值是可以調(diào)整的:
除非你知道你在做什么,否則不要改變默認(rèn)值�。
為了測(cè)試你的服務(wù)器,使用openssl s_client -connect address:port來(lái)連接它����,然后鍵入R<CR>(字母R加回車)多次。
NPN 和 SNI
NPN(下個(gè)協(xié)議協(xié)商)和 SNI(服務(wù)器名稱指示)都是 TLS 握手拓展�����,它們?cè)试S你:
- NPN - 通過(guò)多個(gè)協(xié)議(HTTP����,SPDY)使用一個(gè) TLS 服務(wù)器。
- SNI - 通過(guò)多個(gè)有不同的 SSL 證書的主機(jī)名來(lái)使用一個(gè) TLS 服務(wù)器����。
完全向前保密
術(shù)語(yǔ)“向前保密”或“完全向前保密”描述了一個(gè)密鑰-協(xié)商(如密鑰-交換)方法的特性��。事實(shí)上��,它意味著�,甚至是當(dāng)(你的)服務(wù)器的私鑰被竊取了���,竊取者也只能在他成功獲得所有會(huì)話產(chǎn)生的密鑰對(duì)時(shí)�����,才能解碼信息���。
它通過(guò)在每次握手中(而不是所有的會(huì)話都是同樣的密鑰)隨機(jī)地產(chǎn)生用于密鑰-協(xié)商的密鑰對(duì)來(lái)實(shí)現(xiàn)�����。實(shí)現(xiàn)了這個(gè)技術(shù)的方法被稱作“ephemeral”����。
目前有兩種普遍的方法來(lái)實(shí)現(xiàn)完全向前保密:
- DHE - 一個(gè) 迪菲-赫爾曼 密鑰-協(xié)商 協(xié)議的
ephemeral版本。
- ECDHE - 一個(gè)橢圓曲線 迪菲-赫爾曼 密鑰-協(xié)商 協(xié)議的
ephemeral版本�。
ephemeral方法可能有一些性能問(wèn)題,因?yàn)槊荑€的生成是昂貴的�����。
tls.getCiphers()
返回支持的 SSL 加密器的名字?jǐn)?shù)組。
例子:
var ciphers = tls.getCiphers();
console.log(ciphers); // ['AES128-SHA', 'AES256-SHA', ...]
tls.createServer(options[, secureConnectionListener])
創(chuàng)一個(gè)新的tls.Server實(shí)例�����。connectionListener參數(shù)被自動(dòng)添加為secureConnection事件的監(jiān)聽器�。options參數(shù)可以有以下屬性:
-
pfx: 一個(gè)包含PFX或PKCS12格式的私鑰,加密憑證和 CA 證書的字符串或buffer�。
-
key: 一個(gè)帶著PEM加密私鑰的字符串(可以是密鑰數(shù)組)(必選)。
-
passphrase: 一個(gè)私鑰或pfx密碼字符串���。
-
cert: 一個(gè)包含了PEM格式的服務(wù)器證書密鑰的字符串或buffer(可以是cert數(shù)組)(必選)�����。
-
ca: 一個(gè)PEM格式的受信任證書的字符串或buffer數(shù)組����。如果它被忽略�����,將使用一些眾所周知的“根”CA,像VeriSign��。這些被用來(lái)授權(quán)連接�����。
-
crl : 一個(gè)PEM編碼的證書撤銷列表(Certificate Revocation List)字符串或字符串列表�����。
- ciphers: 一個(gè)描述要使用或排除的加密器的字符串����,通過(guò)
:分割。默認(rèn)的加密器套件是:
ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES128-GCM-SHA256:
ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-AES256-GCM-SHA384:
DHE-RSA-AES128-GCM-SHA256:
ECDHE-RSA-AES128-SHA256:
DHE-RSA-AES128-SHA256:
ECDHE-RSA-AES256-SHA384:
DHE-RSA-AES256-SHA384:
ECDHE-RSA-AES256-SHA256:
DHE-RSA-AES256-SHA256:
HIGH:
!aNULL:
!eNULL:
!EXPORT:
!DES:
!RC4:
!MD5:
!PSK:
!SRP:
!CAMELLIA
默認(rèn)的加密器套件更傾向于Chrome's 'modern cryptography' setting的 GCM 加密器����,也傾向于 PFC 的 ECDHE 和 DHE 加密器�����,它們提供了一些向后兼容性��。
鑒于specific attacks affecting larger AES key sizes�����,所以更傾向于使用128位的 AES 而不是192和256位的 AES。
舊的依賴于不安全的和棄用的 RC4 或基于 DES 的加密器(像 IE6)的客戶端將不能完成默認(rèn)配置下的握手�����。如果你必須支持這些客戶端����,TLS 推薦規(guī)范可能提供了一個(gè)兼容的加密器套件。更多格式細(xì)節(jié)�����,參閱OpenSSL cipher list format documentation���。
- ecdhCurve: 一個(gè)描述用于
ECDH密鑰協(xié)商的已命名的橢圓的字符串�����,如果要禁用ECDH���,就設(shè)置為false。
默認(rèn)值為prime256v1(NIST P-256)�����。使用crypto.getCurves()來(lái)獲取一個(gè)可用的橢圓列表。在最近的發(fā)行版中�,運(yùn)行openssl ecparam -list_curves命令也會(huì)展示所有可用的橢圓的名字和描述。
當(dāng)握手超時(shí)時(shí),tls.Server會(huì)觸發(fā)一個(gè)clientError事件��。
-
honorCipherOrder : 選擇一個(gè)加密器時(shí)�����,使用使用服務(wù)器的首選項(xiàng)而不是客戶端的首選項(xiàng)���。默認(rèn)為true���。
-
requestCert: 如果設(shè)置為true,服務(wù)器將會(huì)向連接的客戶端請(qǐng)求一個(gè)證書�,并且試圖驗(yàn)證這個(gè)證書。默認(rèn)為true����。
-
rejectUnauthorized: 如果設(shè)置為true�����,服務(wù)器會(huì)拒絕所有沒(méi)有在提供的 CA 列表中被授權(quán)的客戶端�。只有在requestCert為true時(shí)這個(gè)選項(xiàng)才有效�����。默認(rèn)為false��。
-
NPNProtocols: 一個(gè)可用的NPN協(xié)議的字符串或數(shù)組(協(xié)議應(yīng)該由它們的優(yōu)先級(jí)被排序)��。
-
SNICallback(servername, cb): 當(dāng)客戶端支持SNI TLS擴(kuò)展時(shí)���,這個(gè)函數(shù)會(huì)被調(diào)用�。這個(gè)函數(shù)會(huì)被傳遞兩個(gè)參數(shù):servername 和 cb�。SNICallback必須執(zhí)行cb(null, ctx),ctx是一個(gè)SecureContext實(shí)例(你可以使用tls.createSecureContext(...)來(lái)獲取合適的SecureContext)。如果SNICallback沒(méi)有被提供 - 默認(rèn)的有高層次API的回調(diào)函數(shù)會(huì)被使用(參閱下文)�。
-
sessionTimeout: 一個(gè)指定在 TLS 會(huì)話標(biāo)識(shí)符和 TLS 會(huì)話門票(tickets)被服務(wù)器創(chuàng)建后的超時(shí)時(shí)間。更多詳情參閱SSL_CTX_set_timeout�。
- ticketKeys: 一個(gè)由16字節(jié)前綴,16字節(jié) hmac 密鑰�����,16字節(jié) AEC 密鑰組成的48字節(jié)
buffer�����。你可以使用它在不同的tls服務(wù)器實(shí)例上接受tls會(huì)話門票��。
注意:會(huì)在cluster模塊工作進(jìn)程間自動(dòng)共享�����。
下面是一個(gè)簡(jiǎn)單應(yīng)答服務(wù)器的例子:
var tls = require('tls');
var fs = require('fs');
var options = {
key: fs.readFileSync('server-key.pem'),
cert: fs.readFileSync('server-cert.pem'),
// This is necessary only if using the client certificate authentication.
requestCert: true,
// This is necessary only if the client uses the self-signed certificate.
ca: [ fs.readFileSync('client-cert.pem') ]
};
var server = tls.createServer(options, function(socket) {
console.log('server connected',
socket.authorized ? 'authorized' : 'unauthorized');
socket.write("welcome!\n");
socket.setEncoding('utf8');
socket.pipe(socket);
});
server.listen(8000, function() {
console.log('server bound');
});
或
var tls = require('tls');
var fs = require('fs');
var options = {
pfx: fs.readFileSync('server.pfx'),
// This is necessary only if using the client certificate authentication.
requestCert: true,
};
var server = tls.createServer(options, function(socket) {
console.log('server connected',
socket.authorized ? 'authorized' : 'unauthorized');
socket.write("welcome!\n");
socket.setEncoding('utf8');
socket.pipe(socket);
});
server.listen(8000, function() {
console.log('server bound');
});
你可以通過(guò)openssl s_client來(lái)連接服務(wù)器:
openssl s_client -connect 127.0.0.1:8000
tls.connect(options[, callback])
tls.connect(port[, host][, options][, callback])
根據(jù)給定的 端口和主機(jī)(舊 API)或 options.port和options.host 創(chuàng)建一個(gè)新的客戶端連接�����。如果忽略了主機(jī)�����,默認(rèn)為localhost���。options可是一個(gè)含有以下屬性的對(duì)象:
-
host: 客戶端應(yīng)該連接到的主機(jī)�����。
-
port: 客戶端應(yīng)該連接到的端口��。
-
socket: 根據(jù)給定的socket的來(lái)建立安全連接�����,而不是創(chuàng)建一個(gè)新的socket�����。如果這個(gè)選項(xiàng)被指定�����,host和port會(huì)被忽略�。
-
path: 創(chuàng)建到path的 unix socket連接����。如果這個(gè)選項(xiàng)被指定,host和port會(huì)被忽略�����。
-
pfx: 一個(gè)PFX或PKCS12格式的包含了私鑰���,證書和 CA 證書的字符串或buffer��。
-
key: 一個(gè)PEM格式的包含了客戶端私鑰的字符串或buffer(可以是密鑰的數(shù)組)�。
-
passphrase: 私鑰或pfx的密碼字符串。
-
cert: 一個(gè)PEM格式的包含了證書密鑰的字符串或buffer(可以是密鑰的數(shù)組)���。
-
ca: 一個(gè)PEM格式的受信任證書的字符串或buffer數(shù)組�。如果它被忽略����,將使用一些眾所周知的CA,像VeriSign�。這些被用來(lái)授權(quán)連接。
-
ciphers: 一個(gè)描述了要使用或排除的加密器�����,由:分割��。使用的默認(rèn)加密器套件與tls.createServer使用的一樣��。
-
rejectUnauthorized: 若被設(shè)置為true�����,會(huì)根據(jù)提供的 CA 列表來(lái)驗(yàn)證服務(wù)器證書����。當(dāng)驗(yàn)證失敗時(shí)���,會(huì)觸發(fā)error事件;err.code包含了一個(gè) OpenSSL 錯(cuò)誤碼����。默認(rèn)為true。
-
NPNProtocols: 包含支持的NPN協(xié)議的字符串或buffer數(shù)組�����。buffer必須有以下格式:0x05hello0x05world�,第一個(gè)字節(jié)是下一個(gè)協(xié)議名的長(zhǎng)度(傳遞數(shù)組會(huì)更簡(jiǎn)單:['hello', 'world'])��。
-
servername: SNI TLS 擴(kuò)展的服務(wù)器名���。
-
checkServerIdentity(servername, cert): 為根據(jù)證書的服務(wù)器主機(jī)名檢查提供了覆蓋�。必須在驗(yàn)證失敗時(shí)返回一個(gè)錯(cuò)誤���,驗(yàn)證通過(guò)時(shí)返回undefined�����。
-
secureProtocol: 將要使用的 SSL 方法����,舉例,SSLv3_method將強(qiáng)制使用 SSL v3���?����?捎玫闹等Q于 OpenSSL 的安裝和SSL_METHODS常量中被定義的值�。
- session: 一個(gè)
Buffer實(shí)例�,包含了 TLS 會(huì)話。
callback參數(shù)會(huì)被自動(dòng)添加為secureConnect事件的監(jiān)聽器���。
tls.connect()返回一個(gè)tls.TLSSocket對(duì)象����。
以下是一個(gè)上述應(yīng)答服務(wù)器的客戶端的例子:
var tls = require('tls');
var fs = require('fs');
var options = {
// These are necessary only if using the client certificate authentication
key: fs.readFileSync('client-key.pem'),
cert: fs.readFileSync('client-cert.pem'),
// This is necessary only if the server uses the self-signed certificate
ca: [ fs.readFileSync('server-cert.pem') ]
};
var socket = tls.connect(8000, options, function() {
console.log('client connected',
socket.authorized ? 'authorized' : 'unauthorized');
process.stdin.pipe(socket);
process.stdin.resume();
});
socket.setEncoding('utf8');
socket.on('data', function(data) {
console.log(data);
});
socket.on('end', function() {
server.close();
});
或
var tls = require('tls');
var fs = require('fs');
var options = {
pfx: fs.readFileSync('client.pfx')
};
var socket = tls.connect(8000, options, function() {
console.log('client connected',
socket.authorized ? 'authorized' : 'unauthorized');
process.stdin.pipe(socket);
process.stdin.resume();
});
socket.setEncoding('utf8');
socket.on('data', function(data) {
console.log(data);
});
socket.on('end', function() {
server.close();
});
Class: tls.TLSSocket
net.Socket實(shí)例的包裝�,替換了內(nèi)部socket的 讀/寫例程,來(lái)提供透明的對(duì) 傳入/傳出數(shù)據(jù) 的 加密/解密��。
new tls.TLSSocket(socket, options)
根據(jù)已存在的 TCPsocket��,構(gòu)造一個(gè)新的TLSSocket對(duì)象。
socket是一個(gè)net.Socket實(shí)例��。
options是一個(gè)可能包含以下屬性的對(duì)象:
-
secureContext: 一個(gè)可選的通過(guò)tls.createSecureContext( ... )得到的 TLS 內(nèi)容對(duì)象����。
-
isServer: 如果為true,TLS socket將會(huì)在服務(wù)器模式(server-mode)下被初始化��。
-
server: 一個(gè)可選的net.Server實(shí)例����。
-
requestCert: 可選,參閱tls.createSecurePair��。
-
rejectUnauthorized: 可選��,參閱tls.createSecurePair��。
-
NPNProtocols: 可選��,參閱tls.createServer���。
-
SNICallback: 可選,參閱tls.createServer��。
-
session: 可選,一個(gè)Buffer實(shí)例�����,包含了 TLS 會(huì)話�。
- requestOCSP: 可選,如果為
true����,OCSP狀態(tài)請(qǐng)求擴(kuò)展將會(huì)被添加到客戶端 hello,并且OCSPResponse事件將會(huì)在建立安全通信前����,于socket上觸發(fā)。
tls.createSecureContext(details)
創(chuàng)建一個(gè)證書對(duì)象���,details有可選的以下值:
- pfx : 一個(gè)含有
PFX或PKCS12編碼的私鑰�����,證書和 CA 證書的字符串或buffer��。
- key : 一個(gè)含有
PEM編碼的私鑰的字符串���。
- passphrase : 一個(gè)私鑰或
pfx密碼字符串�����。
- cert : 一個(gè)含有
PEM加密證書的字符串����。
- ca : 一個(gè)用來(lái)信任的
PEM加密 CA 證書的字符串或字符串列表���。
- crl : 一個(gè)
PEM加密CRL的字符串或字符串列表�����。
- ciphers: 一個(gè)描述需要使用或排除的加密器的字符串����。更多加密器的格式細(xì)節(jié)參閱
http://www.openssl.org/docs/apps/ciphers.html#CIPHER_LIST_FORMAT����。
- honorCipherOrder : 選擇一個(gè)加密器時(shí)��,使用使用服務(wù)器的首選項(xiàng)而不是客戶端的首選項(xiàng)�����。默認(rèn)為
true。更多細(xì)節(jié)參閱tls模塊文檔�。
如果沒(méi)有指定ca,那么io.js將會(huì)使用http://mxr.mozilla.org/mozilla/source/security/nss/lib/ckfw/builtins/certdata.txt提供的默認(rèn)公共可信任 CA 列表���。
tls.createSecurePair([context][, isServer][, requestCert][, rejectUnauthorized])
根據(jù)兩個(gè)流��,創(chuàng)建一個(gè)新的安全對(duì)(secure pair)對(duì)象����,一個(gè)是用來(lái)讀/寫加密數(shù)據(jù)��,另一個(gè)是用來(lái)讀/寫明文數(shù)據(jù)����。通常加密的數(shù)據(jù)是從加密數(shù)據(jù)流被導(dǎo)流而來(lái),明文數(shù)據(jù)被用來(lái)作為初始加密流的一個(gè)替代�。
-
credentials: 一個(gè)通過(guò)tls.createSecureContext( ... )得到的安全內(nèi)容對(duì)象。
-
isServer: 一個(gè)表明了 是否這個(gè)tls連接應(yīng)被作為一個(gè)服務(wù)器或一個(gè)客戶端打開 的布爾值�����。
-
requestCert: 一個(gè)表明了 是否服務(wù)器應(yīng)該向連接的客戶端請(qǐng)求證書 的布爾值�。只應(yīng)用于服務(wù)器連接。
- rejectUnauthorized: 一個(gè)表明了 是否服務(wù)器應(yīng)該拒絕包含不可用證書的客戶端 的布爾值���。只應(yīng)用于啟用了
requestCert的服務(wù)器�。
tls.createSecurePair()返回一個(gè)帶有cleartext和 encrypted流 屬性的對(duì)象。
注意:cleartext和tls.TLSSocket有相同的 API���。
Class: SecurePair
由tls.createSecurePair返回�。
Event: 'secure'
當(dāng)SecurePair成功建立一個(gè)安全連接時(shí)�,SecurePair會(huì)觸發(fā)這個(gè)事件
與檢查服務(wù)器的secureConnection事件相似,pair.cleartext.authorized必須被檢查���,來(lái)確認(rèn)證書是否使用了合適的授權(quán)����。
Class: tls.Server
這是一個(gè)net.Server的子類��,并且與其有相同的方法�����。除了只接受源 TCP 連接��,這個(gè)類還接受通過(guò)TLS 或 SSL 加密的數(shù)據(jù)�����。
Event: 'secureConnection'
當(dāng)一個(gè)新連接被成功握手后�,這個(gè)事件會(huì)被觸發(fā)。參數(shù)是一個(gè)tls.TLSSocket實(shí)例����。它擁有所有普通流擁有的事件和方法。
socket.authorized是一個(gè)表明了 客戶端是否通過(guò)提供的服務(wù)器 CA 來(lái)進(jìn)行了認(rèn)證 的布爾值����。如果socket.authorized為false,那么socket.authorizationError將被設(shè)置用來(lái)描述授權(quán)失敗的原因�。一個(gè)不明顯的但是值得提出的點(diǎn):依靠 TLS 服務(wù)器的設(shè)定,未授權(quán)的連接可能會(huì)被接受��。socket.npnProtocol是一個(gè)包含了被選擇的 NPN 協(xié)議的字符串�����。socket.servernam是一個(gè)包含了通過(guò) SNI 請(qǐng)求的服務(wù)器名的字符串����。
Event: 'clientError'
- function (exception, tlsSocket) { }
當(dāng)安全連接被建立之前,服務(wù)器觸發(fā)了一個(gè)error事件 - 它會(huì)被轉(zhuǎn)發(fā)到這里����。
tlsSocket是錯(cuò)誤來(lái)自的tls.TLSSocket�。
Event: 'newSession'
- function (sessionId, sessionData, callback) { }
在 TLS 會(huì)話創(chuàng)建時(shí)觸發(fā)����。可能會(huì)被用來(lái)在外部存儲(chǔ)會(huì)話����。callback必須最終被執(zhí)行,否則安全連接將不會(huì)收到數(shù)據(jù)��。
注意:這個(gè)事件監(jiān)聽器只會(huì)影響到它被添加之后建立的連接�����。
Event: 'resumeSession'
- function (sessionId, callback) { }
當(dāng)客戶端想要恢復(fù)先前的 TLS 會(huì)話時(shí)觸發(fā)����。事件監(jiān)聽器可能會(huì)在外部通過(guò)sessionId來(lái)尋找會(huì)話,并且在結(jié)束后調(diào)用callback(null, sessionData)�����。如果會(huì)話不能被恢復(fù)(例如沒(méi)有找到)�����,可能會(huì)調(diào)用callback(null, null)。調(diào)用callback(err)會(huì)關(guān)閉將要到來(lái)的連接并且銷毀socket�。
注意:這個(gè)事件監(jiān)聽器只會(huì)影響到它被添加之后建立的連接����。
Event: 'OCSPRequest'
- function (certificate, issuer, callback) { }
當(dāng)客戶端發(fā)送一個(gè)證書狀態(tài)請(qǐng)求時(shí)觸發(fā)。你可以解釋服務(wù)器當(dāng)前的證書來(lái)獲取 OCSP url 和證書 id�,并且在獲取了 OCSP 響應(yīng)后執(zhí)行callback(null, resp),resp是一個(gè)Buffer實(shí)例�。certificate和issuer都是一個(gè)Buffer,即主鍵和發(fā)起人證書的 DER 代表(DER-representations)�����。它們可以被用來(lái)獲取 OCSP 證書 id 和 OCSP 末端 url�����。
另外��,callback(null, null)可以被調(diào)用�,意味著沒(méi)有 OCSP 響應(yīng)。
調(diào)用callback(err)�,將會(huì)導(dǎo)致調(diào)用socket.destroy(err)。
典型的流程:
- 客戶端連接到服務(wù)器,然后發(fā)送一個(gè)
OCSPRequest給它(通過(guò)ClientHello中擴(kuò)展的狀態(tài)信息)�����。
- 服務(wù)器接受請(qǐng)求����,然后執(zhí)行
OCSPRequest事件監(jiān)聽器(如果存在)。
- 服務(wù)器通過(guò)證書或發(fā)起人抓取 OCSP url��,然后向 CA 發(fā)起一個(gè) OCSP 請(qǐng)求�����。
- 服務(wù)器從 CA 收到一個(gè)
OCSPResponse�,然后通過(guò)回調(diào)函數(shù)的參數(shù)將其返回給客戶端。
- 客戶端驗(yàn)證響應(yīng)���,然后銷毀
socket或者進(jìn)行握手����。
注意:issuer可以是null����,如果證書是自簽名的或issuer不在根證書列表之內(nèi)(你可以通過(guò)ca參數(shù)提供一個(gè)issuer)��。
注意:這個(gè)事件監(jiān)聽器只會(huì)影響到它被添加之后建立的連接����。
注意:你可能想要使用一些如asn1.js的npm模塊來(lái)解釋證書�。
server.listen(port[, hostname][, callback])
從指定的端口和主機(jī)名接收連接。如果hostname被忽略�,服務(wù)器會(huì)在當(dāng) IPv6 可用時(shí)�����,接受任意 IPv6 地址(::)上的連接���,否則為任意 IPv4(0.0.0.0)上的���。將port設(shè)置為0則會(huì)賦予其一個(gè)隨機(jī)端口。
這個(gè)函數(shù)是異步的�。最后一個(gè)參數(shù)callback會(huì)在服務(wù)器被綁定后執(zhí)行。
更多信息請(qǐng)參閱net.Server���。
server.close([callback])
阻止服務(wù)器繼續(xù)接收新連接�����。這個(gè)函數(shù)是異步的�,當(dāng)服務(wù)器觸發(fā)一個(gè)close事件時(shí),服務(wù)器將最終被關(guān)閉���?��?蛇x的,你可以傳遞一個(gè)回調(diào)函數(shù)來(lái)監(jiān)聽close事件�����。
server.address()
返回綁定的地址���,服務(wù)器地址的協(xié)議族名和端口通過(guò)操作系統(tǒng)報(bào)告�����。更多信息請(qǐng)參閱net.Server.address()�。
server.addContext(hostname, context)
添加安全內(nèi)容���,它將會(huì)在如果客戶端請(qǐng)求的 SNI 主機(jī)名被傳遞的主機(jī)名匹配(可以使用通配符)時(shí)使用�。context可以包含密鑰��,證書,CA 和/或 其他任何tls.createSecureContext的options參數(shù)的屬性�����。
server.maxConnections
當(dāng)服務(wù)器連接數(shù)變多時(shí)�����,設(shè)置這個(gè)值來(lái)拒絕連接���。
server.connections
服務(wù)器上的當(dāng)前連接數(shù)。
Class: CryptoStream
穩(wěn)定度: 0 - 棄用��。 使用tls.TLSSocket替代�����。
這是一個(gè)加密流����。
cryptoStream.bytesWritten
一個(gè)底層socket的bytesWritten存取器的代理,它會(huì)返回寫入socket的總字節(jié)數(shù)�����,包括 TLS開銷。
Class: tls.TLSSocket
這是一個(gè)net.Socket的包裝��,但是對(duì)寫入的數(shù)據(jù)做了透明的加密��,并且要求 TLS 協(xié)商�。
這個(gè)實(shí)例實(shí)現(xiàn)了一個(gè)雙工流接口。它有所有普通流所擁有的事件和方法���。
Event: 'secureConnect'
在一個(gè)新連接成功握手后����,這個(gè)事件被觸發(fā)�。無(wú)論服務(wù)器的證書被授權(quán)與否,這個(gè)監(jiān)聽器都會(huì)被調(diào)用����。測(cè)試tlsSocket.authorized來(lái) 驗(yàn)證服務(wù)器證書是否被一個(gè)指定 CA 所簽名 取決于用戶。如果tlsSocket.authorized === false那么錯(cuò)誤可以從tlsSocket.authorizationError里被發(fā)現(xiàn)���。如果NPN被使用�����,你可以通過(guò)tlsSocket.npnProtocol來(lái)檢查已協(xié)商協(xié)議�����。
Event: 'OCSPResponse'
如果requestOCSP選項(xiàng)被設(shè)置�����,這個(gè)事件會(huì)觸發(fā)����。response是一個(gè)buffer對(duì)象,包含了服務(wù)器的 OCSP 響應(yīng)�。
習(xí)慣上,response是一個(gè)來(lái)自服務(wù)器的 CA(包含服務(wù)器的證書撤銷狀態(tài))的已簽名對(duì)象�����。
tlsSocket.encrypted
靜態(tài)布爾變量�����,總是true�?�?赡軙?huì)被用來(lái)區(qū)分 TLS socket和普通的socket��。
tlsSocket.authorized
如果對(duì)等(peer)證書通過(guò)一個(gè)指定的 CA 被簽名,那么這個(gè)值為true�。否則為false。
tlsSocket.authorizationError
對(duì)等(peer)的證書沒(méi)有被驗(yàn)證的原因�����。這個(gè)值只在tlsSocket.authorized === false時(shí)可用�。
tlsSocket.getPeerCertificate([ detailed ])
返回了一個(gè)代表了對(duì)等證書的對(duì)象。返回的對(duì)象有一些屬性與證書的屬性一致���。如果detailed參數(shù)被設(shè)置為true����,issuer屬性的完整鏈都會(huì)被返回���,如果為false�����,只返回不包含issuer屬性的頂端的證書���。
例子:
{ subject:
{ C: 'UK',
ST: 'Acknack Ltd',
L: 'Rhys Jones',
O: 'io.js',
OU: 'Test TLS Certificate',
CN: 'localhost' },
issuerInfo:
{ C: 'UK',
ST: 'Acknack Ltd',
L: 'Rhys Jones',
O: 'io.js',
OU: 'Test TLS Certificate',
CN: 'localhost' },
issuer:
{ ... another certificate ... },
raw: < RAW DER buffer >,
valid_from: 'Nov 11 09:52:22 2009 GMT',
valid_to: 'Nov 6 09:52:22 2029 GMT',
fingerprint: '2A:7A:C2:DD:E5:F9:CC:53:72:35:99:7A:02:5A:71:38:52:EC:8A:DF',
serialNumber: 'B9B0D332A1AA5635' }
如果peer沒(méi)有提供一個(gè)證書,那么會(huì)返回null或空對(duì)象。
tlsSocket.getCipher()
返回一個(gè)代表了當(dāng)前連接的加密器名和 SSL/TLS 協(xié)議版本的對(duì)象�����。
例子: { name: 'AES256-SHA', version: 'TLSv1/SSLv3' }
參閱http://www.openssl.org/docs/ssl/ssl.html#DEALING_WITH_CIPHERS中SSL_CIPHER_get_name()和SSL_CIPHER_get_version()�����。
tlsSocket.renegotiate(options, callback)
初始化 TLS 重新協(xié)商過(guò)程��。optios可以包含以下屬性:rejectUnauthorized�����,requestCert(詳情參閱tls.createServer)���。一旦重協(xié)商成功��,callback(err)會(huì)帶著err為null執(zhí)行���。
注意:可以被用來(lái)請(qǐng)求對(duì)等(peer)證書在安全連接建立之后�。
另一個(gè)注意點(diǎn):當(dāng)作為服務(wù)器運(yùn)行時(shí),socekt在handshakeTimeout超時(shí)后�,會(huì)帶著一個(gè)錯(cuò)誤被銷毀。
tlsSocket.setMaxSendFragment(size)
設(shè)置 TLS 碎片大小的最大值(默認(rèn)最大值為16384���,最小值為512)�。若設(shè)置成功返回true,否則返回false����。
更小的碎片大小來(lái)減少客戶端的緩沖延遲:大的碎片通過(guò) TLS 層緩沖,直到收到全部的碎片并且它的完整性被驗(yàn)證��;大碎片可能會(huì)跨越多次通信�,并且可能會(huì)被報(bào)文丟失和重新排序所延遲。但是����,更小的碎片增加了額外的 TLS 框架字節(jié)和 CPU 開銷,可能會(huì)減少總體的服務(wù)器負(fù)載�����。
tlsSocket.getSession()
返回ASN.1編碼的 TLS 會(huì)話�,如果沒(méi)有被協(xié)商,返回undefined����。可以被用在重新連接服務(wù)器時(shí),加速握手的建立�。
tlsSocket.getTLSTicket()
注意:僅在客戶端 TLS socket中工作。僅在調(diào)試時(shí)有用��,因?yàn)闀?huì)話重新使用了給tls.connect提供的session選項(xiàng)�。
返回 TLS 會(huì)話門票(ticket),如果沒(méi)有被協(xié)商�,返回undefined。
tlsSocket.address()
返回綁定的地址���,協(xié)議族名和端口由底層系統(tǒng)報(bào)告���。返回一個(gè)含有三個(gè)屬性的對(duì)象,例如:{ port: 12346, family: 'IPv4', address: '127.0.0.1' }��。
tlsSocket.remoteAddress
代表了遠(yuǎn)程 IP 地址的字符串����。例子:'74.125.127.100'或'2001:4860:a005::68'。
tlsSocket.remoteFamily
代表了遠(yuǎn)程 IP 協(xié)議族的字符串�。'IPv4'或'IPv6'。
tlsSocket.remotePort
代表了遠(yuǎn)程端口數(shù)字�。例子:443。
tlsSocket.localAddress
代表了本地 IP 地址的字符串����。
tlsSocket.localPort
代表了本地端口的數(shù)字。
