散户福利！Nodejs多站点切换Htpps协议

记录一些要点，以便于常记起时有据可循！

纯属赶个时髦，折腾了两天终于将个人小站的全部服务由http协议切换到了https，整个过程虽然也不算太麻烦，但也不得不承认，个人对互联网安全这方面的知识确认比较欠缺；

Letsencrypt是由Mozilla、思科和EFF等组织发起的，免费向广大互联网网站提供SSL证书，目的在于加速推进互联网由Http过渡到Https，很高兴周末能够与其不期而遇，这对于一个互联网散户来说，绝对是大大的福利，所以决定乘周末折腾一番：先搞到证书，再改程序；

获取letsencrypt颁发的免费的SSL证书也是相对比较简单的，我还是个windows服务器，目前没能耐去折腾Linux，所以要下载letsencrypt-win-simple的安装包，运行letsencrypt.exe就开始了：第一步输入邮箱，如果不是第一次申请会跳过前两步，然后有5个选项供你选择，一般选M，输入M，Enter就到了让你输入需要证书的域，接着输入这个域对应的站点的根目录，输入一个线上运行的域即可，指定的根目录需要是能够直接访问的，因为他会访问你输入的域以及根目录下的某个文件，我很纳闷他是怎么在我站点新建的那些目录和验证文件，也就是说，他会在你指定的目录下新建两层目录和一个他需要访问的验证文件，准确的说他要知道这个乱码文件里的一段乱码内容来完成认证；完成认证后就会在C:\Users\Administrator\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org目录下生成证书文件；接下来的步骤就相对可以随意些了；

如果你就一个主域和一个站点，那么就可以拿证书去改程序了；

如果真的这样就完事了，那么是否感觉太快了，以致于没啥体验了；按照上面的步骤一个域下面可以生成一次证书，那么重复这些步骤，生成多个域下面的多个证书自然也是可以的了，问题在于必要性，或许折腾就是在为你的天真弱知买单；

Ok，我很天真；我为主域和两个二级域各生成了一次证书，接下来改程序咯！

我的站点是用Nodejs搭建的，内部由http-proxy代理来串起来的3个小站点，没有使用Nginx完全是为了以业余的玩性多去理解一点Nodejs；接下来主站监听443端口，二级站点由http-proxy代理分发；

var https=require('https');
var http=require('http');
var fs=require('fs');

var server = http.createServer(app);
var httpsServer=https.createServer({
  key: fs.readFileSync('./privatekey.pem'),
  cert: fs.readFileSync('./certificate.pem')
},app);

httpsServer.listen(443);
server.listen(80);

代理中间件大概的样子：

app.use(function(req,res,next){
    var proxy = httpProxy.createProxyServer({
        headers:{
            'x-forward-ip':req.ip.match(/([\w\.]+)/g)[1]
        }
    });
    proxy.on('error', function (err, req, res) {
        res.writeHead(500, {
            'Content-Type': 'text/plain'
        });
        res.end('Something went wrong.');
    });

    switch (req.headers.host){
        case 'm.famanoder.cn':
        proxy.web(req, res, { target: 'https://localhost:2333' });
        break;
        case 'cdn.famanoder.cn': 
        proxy.web(req, res, { target: 'https://localhost:3222' });
        break;
        default:  
            next();
    }
});

这样主域用https访问一点问题没有，问题在于二级站点的访问浏览器始终会提示网站的证书不受信任，没办法，只好这样访问二级站点：https://cdn.famanoder.com:4000/，是的，带端口访问当然没问题，这样的话就没走代理了，可始终感觉不太方便，别扭，只能重想办法了；

又是一个机缘巧合，准备起身下班时看到了一篇文章，除了标题，全英文的，但直觉告诉了我，内容有我想要的东西；一脸懵逼的走马观花的看了一遍，果然豁然开朗了：在命令行里启动letsencrypt加--san参数来申请证书，可以为一个域绑定多个附带的域，也就说多个域可以共用同一套证书，那么代理的问题自然就解开了；输入主域后，再输入多个域用逗号隔开，然后他会依次去每个域验证，最后生成共用的一套证书；于是我决定了：今晚加餐！

Letsencrypt的验证方式为访问这个格式的地址：

http://cdn.famanoder.com/.well-known/acme-challenge/RHha4Dx3YaUzi7tu_C6p9mPk-TNpuLVN5hMQro2N1_Q

他会依次访问每个域的这个乱码文件，估计这个文件里有他想要的另一段乱码内容，打开看看就知道了；主站用的Express，cdn站点使用的原生Nodejs，两个站点的访问结果都是直接下载了文件，可能MIME头要改改，因为现在是多个域要访问同一个目录下的文件，索性在填写根目录时别填真正的根目录，而是填一个多个根目录共同所属的目录，比如D:\，修改路由文件如下：

//  www(Express)
app.get('/.well-known/acme-challenge/:ids',function(req,res,next){
    require('fs').readFile('D:/.well-known/acme-challenge/'+req.params.ids,function(err,data){
        err&&console.log(err);
        res.end(data);
    });
});
// www(Koa2)
router.get('/.well-known/acme-challenge/:ids',async (cx,next)=>{
    await next();
    let data=await fs.readFileSync('D:'+cx.request.url);
    cx.response.body=data;
});

// cdn
if (req.url.indexOf('acme-challenge')!=-1) {
    var pathname=url.parse(req.url).pathname;
    fs.readFile('D:'+pathname,function(err,data){
        err&&console.log(err);
        res.writeHead(200,{
          'content-type':'text/html'
        });
        res.end(data);
        return false;
    });
}
return false;

这样，多个域依次验证通过了，生成了同一套证书，有效期3个月，有效期内系统正常的话，3个月后会自动续期；那么就可以继续走http-proxy代理了，二级站点的https访问也不需要带端口了；接下来就是替换所有的http为https了，或者直接去掉协议，//www.famanoder.com格式也可以，浏览器会自动识别采用相应的协议；

由于Letsencrypt的验证域必须是线上可访问的，所以本地开发要另外配置，比如用Git自带的openssl生成一套证书作为开发调试时用也是可以的，只是浏览器会提示证书不受信用；

总之，说复杂也不复杂，说简单也不是那么简单，事情就是那么个事情，折腾就是为天真弱知买单嘛！

如果你已在路上，就勇敢的向前吧！

原文来自：花满楼（https://www.famanoder.com）