暗号化して表現しましょう。 各サーバーには緑の城があります

HTTPSは、現代のインターネットでますます強力な傾向になっています。 これは特に、サーバーと対話するクライアントが機密データを交換する場合に便利です。 HTTPSを使用するには、サーバーの認証に使用されるSSL証明書が必要です。 Let's Encryptプロジェクトは 、SSL証明書を取得するプロセスを大幅に簡素化しました。 彼の登場前は、すべてがはるかに複雑でした。


Let's Encryptは、Electronic Frontier FoundationのCertbotを使用して、SSL証明書を取得するプロセスを自動化します。 Unixライクなオペレーティングシステム上で実行されるさまざまな種類のWebサーバー（Apache、nginxなど）をサポートします。 サーバーがLet's Encryptのシステム要件を満たしている場合、これは、ほぼ完全に自動モードで証明書を取得できることを意味します。 残念ながら、Node.js / Express.js Let's Encryptバンドルはサポートしていません。 つまり、この場合、Certbotから証明書を自動的に取得することはできません。 ただし、すべてが失われるわけではありません。 Let's EncryptとCertbotを使用すると、証明書を手作業で取得するのはそれほど難しくありません。

予備情報

Certbotをwebrootモードで使用し、--webroot --webrootます。 一言で言えば、このモードでは、Certbotはサーバーの特定のディレクトリにファイルを配置します。このディレクトリはHTTP経由でアクセスできるはずです。

Expressを使用すると、 express.static()関数を使用して静的ファイルを含むディレクトリを提供できます。

webroot モードの Certbotドキュメントセクションを見ると、Certbotはhttp://<your_server_url>/.well-known/acme-challenge/サーバー上のファイルを検索していることがhttp://<your_server_url>/.well-known/acme-challenge/ます。 指定されたディレクトリに配置されたHTTPファイルを正常に受信できる場合、このサーバーのSSL証明書を作成します。
それでは始めましょう。

作業計画

証明書を取得してその関連性を維持するには、5つの段階を経る必要があります。

1. 適切なポートをリダイレクトします。
2. 静的ファイルのディレクトリ構造を構成し、Expressを使用してそのメンテナンスを整理します。
3. Certbotをインストールして実行します。
4. HTTPSを使用するようにExpressを構成します。
5. 90日後にLet's Encrypt証明書を更新します。

以下に、コードとコマンドの例を使用して、これらの手順をより詳細に説明します。

ポート転送

これで問題が発生することはないと確信していますが、完全を期すために、この手順について説明します。

検証を成功させるには、サーバーURLが必要です。 CertbotはこのURLを使用してサーバーに接続し、HTTP経由でデータを取得します。 これは、提供されたURLのポート80がインターネットからアクセス可能でなければならないことを意味します。 これはデフォルトのHTTPSポートであるため、ポート443を開いても害はありません。

個人的には、Expressサーバーを1024を超えるポートに保持し、リダイレクトルールを使用して、ポート80または443からサーバーにトラフィックを転送することを好みます。 その結果、特にWebサーバーが潜在的に危険なトラフィックを処理することを考えると、Expressの昇格された特権を与える必要はありません。

ネットワーク設定を確認するには、 curlユーティリティを使用できます。 たとえば、サーバーがシステムをテストするためのアドレスを持っている場合（常に便利です）、 curlを使用してこのアドレスへの要求を行うことができます。 サーバーが次のように構成されているとします。

 // filename: app.js const app = require('express')(); app.get('/health-check', (req, res) => res.sendStatus(200)); app.listen(8080); 

curlを使用してhealth-checkエンドポイントにアクセスすると、すべてがhealth-checkであり、HTTP 200応答が示されます。

 curl http://<your_server_url>/health-check 

ネットワークとサーバーを使用する準備ができたら、静的ファイルのサービスの構成に進むことができます。

静的ファイルの提供

前述のように、サーバーを確認するためにCertbotが連絡するアドレスは/.well-known/acme-challengeです。 Expressはexpress.static()関数を使用して、この関数で指定されたパスに沿って静的ファイルを提供します。 このパスはサーバーのルートになります。 多くの場合、Webサイトの静的データを格納するフォルダーはpublicまたはstaticと呼ばれ、たとえば、ファイルシステムに/static/test-text/mytextfile.txtとしてテキストファイルが表示されている場合、外部からアクセスできます。 http://<your_server_url/test-text/mytextfile.txt 。 これを念頭に置いて、Certbotのニーズに合わせてディレクトリ構造を作成し、Expressにプラグインします。

 cd static mkdir -p .well-known/acme-challenge 

上記のコマンドはプロジェクトルートから実行され、静的データのディレクトリはstaticと呼ばれると想定されていstatic 。

 // filename: app.js const express = require('express'); const app = express(); app.use(express.static('static')); app.listen(8080); 

次に、Expressが正しいフォルダーを提供するように構成された後、システムのパフォーマンスを確認します。

 echo "this is a test" > static/.well-known/acme-challenge/9001 curl http://<your_server_url>/.well-known/acme-challenge/9001 

「これはテストです」というテキストがコンソールに表示されたら、この手順は正常に完了しているため、さらに進んで新しいSSL証明書を作成できます。

認証ボット

この段階の最初のステップは、Certbotをインストールすることです。 インストール手順はこちらにあります 。 つまり、それらを表示するには、[ 使用中]フィールドで、上記の [ なし]を選択し、次のフィールドでOSを選択します。 その後、インストールコマンドが表示されます。 たとえば、Ubuntu 16.04（xenial）の場合、このコマンドは次のようになります： sudo apt-get install letsencrypt

次のステップは、証明書を生成することです。 既に述べたように、Certbotをwebrootモードで起動します。 これを行うには、Webサーバーのルートとして使用されるパス（ –wを使用）とドメイン名（ –dスイッチを使用）を渡す必要があります。 この場合、コマンドは次のようになります。

 letsencrypt --webroot -w ./static -d <your_server_url> 

ここでは、プロジェクトディレクトリにいるという前提から進みます。 コマンドが正常に実行されると、対応するメッセージと生成されたファイルの場所に関する情報が表示されます。 それらは通常/etc/letsencrypt/live/<your_server_url>ます。 これらのファイルが何であるかは、 CertbotマニュアルのWebrootセクションで確認できます。 Expressサーバーでfullchain.pemおよびprivkey.pemファイルを使用します。

いいね！ これが、新しいSSL証明書です。 今それを使用します。

ExpressおよびHTTPS

Expressは、インストール直後にHTTP経由でのみ機能します。 Node httpsモジュールを使用して、ExpressでHTTPSの使用を構成できます。 これを行うには、証明書と秘密鍵の2つのファイルが必要です。 ちなみに、サーバーの秘密鍵をpr索好きな目から守り、秘密鍵ファイルへのアクセスを許可されたユーザーのみに与えてください。

さらに、 fullchain.pemおよびprivkey.pemをプロジェクトディレクトリにコピーするか、それらへのシンボリックリンクを作成することをお勧めします。 シンボリックリンクを作成すると、更新プロセスが簡単になりますが、選択はユーザー次第です。

以下のコードは、 fullchain.pemおよびprivkey.pemがプロジェクトディレクトリのsslcertフォルダーにあるという前提に基づいています。

 // filename: app.js const https = require('https'); const fs = require('fs'); const express = require('express'); const app = express(); //   Express const options = {   cert: fs.readFileSync('./sslcert/fullchain.pem'),   key: fs.readFileSync('./sslcert/privkey.pem') }; express.listen(8080); https.createServer(options, app).listen(8443); 

さらに、 Helmet.jsはここでは問題ありません。 このパッケージは、HTTPヘッダーを管理することでExpressサーバーを保護するのに役立ちます。 特に、 HSTSを追加し、X-Powered-Byヘッダーを削除し、X-Frame-Optionsヘッダーを設定してクリックジャッキングを防ぎます。

インストールはとても簡単です：

 npm install --save helmet 

Helmetをインストールすると、Expressでデータ処理の中間層として使用できます。

 // filename: app.js app.use(require('helmet')()); 

最後に、すべてが機能することを最終的に確認するために、 SSL Server Testのようなものを使用してサーバーをチェックできます 。

証明書の更新

Let's Encrypt証明書は90日間有効です。 特に証明書を更新するプロセスが非常に単純であることを考えると、これが良いか悪いかを議論するのは無意味です。 つまり、証明書を更新するには、 letsencrypt renewコマンドを実行するだけで十分で、 letsencrypt renewは新しい証明書を発行します。 cronジョブまたはsystemdなどを使用して、このプロセスを自動化することをお勧めします。

結論

その結果、特定のパスで静的ファイルを提供するようにExpressサーバーを構成し、webrootモードでCertbotを使用してサーバー証明書を作成し、作成した証明書を使用してHTTPSをExpressに接続しました。 Certbotと対話する自動プロセスは利用できませんが、必要なすべてを手動で行うことはそれほど難しくありません。

近い将来、CertbotにNode.jsのサポートが装備されることが期待されています。

ExpressサーバーのSSL証明書はどのように取得しますか？ Let's Encryptの証明書を使用していますか？