我在Windows Server 2012上运行IIS 8.5上的node.js webapp(使用iisnode发布),我已将其配置为使用我刚购买的this证书。所以我将证书添加到服务器:
并将我的网站配置为使用https和我刚刚配置的证书:
现在我可以访问我的网站https://example.com
了好的,我在我网络外的某些计算机上运行了node.js客户端,并不时向服务器发布一些数据。我现在想拥有SSL证书,以确保连接安全。
我的目标是从客户端进行HTTPS POST,只允许使用有效证书的客户端将数据上传到我的https://example.com/upload网址。
首先,我强迫ISS在我的网站上申请证书。在SSL配置中,我选中了“必需”选项:
接下来要做的是使用https和我的证书从我的node.js上传数据。问题是我的node.js https POST请求将IIS的权限被拒绝网站作为响应。
我的node.js请求代码是:
var config = require('./config');
var request = require('request');
var path = require('path');
var fs = require('fs');
var certFile = path.resolve(__dirname, 'tls/certificate.crt');
var keyFile = path.resolve(__dirname, 'tls/certificate.key');
var caFile = path.resolve(__dirname, 'tls/certificate.ca.crt');
var pfxFile = path.resolve(__dirname, 'tls/certificate.pfx');
var credentials ={
"email":config.EMAIL,
"password":config.PASSWORD
}
request.post({
uri: config.LOGIN_URL, //https://example.com/upload
headers: {
'content-type': 'application/x-www-form-urlencoded',
'User-Agent' : 'Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko'
},
body: require('querystring').stringify(credentials),
rejectUnauthorized: false,
agentOptions: {
cert: fs.readFileSync(certFile),
key: fs.readFileSync(keyFile),
// Or use `pfx` property replacing `cert` and `key` when using private key, certificate and CA certs in PFX or PKCS12 format:
// pfx: fs.readFileSync(pfxFilePath),
ca: fs.readFileSync(caFile),
securityOptions: 'SSL_OP_NO_SSLv3'
}
}, function(err, res, body){
if (!err && res.statusCode === 200) {
console.log('OK!');
} else {
console.log("Error: ",err);
}
});
我的架构中缺少什么,以便IIS允许我的HTTPS POST请求验证我从客户端发送的证书?
编辑:我现在在node.js客户端测试我在服务器(IIS)中添加的相同pfx文件。我的agentOpntions现在是: agentOptions: {
pfx: fs.readFileSync(pfxFile),
passphrase: 'MyPfxPassPhrase',
securityOptions: 'SSL_OP_NO_SSLv3'
}
同样的结果:(
EDIT2:我使用免费的cloudflare服务作为DNS和一点额外的安全性(DDos保护等)。我不知道这是否会导致这个问题......
EDIT3:我在网上看到,我可能需要与Windows用户创建一对一的映射,所以我按照this指南进行配置。同样的结果:403-许可被拒绝。
编辑4:我激活了SSL错误跟踪,现在我可以看到确切的错误代码:HTTP 403.16 Forbidden: Client Certificate Untrusted or Invalid.
确切地说,日志是:
<failedRequest url="https://example.com:443/"
siteId="6"
appPoolId="example"
processId="3544"
verb="GET"
authenticationType="NOT_AVAILABLE" activityId="{00000000-0000-0000-0D00-0080000000F7}"
failureReason="STATUS_CODE"
statusCode="403.16"
triggerStatusCode="403.16"
timeTaken="0"
xmlns:freb="http://schemas.microsoft.com/win/2006/06/iis/freb"
>
</failedRequest>
我不知道是否需要将COMODO RSA CA添加到受信任的根证书颁发机构证书存储区,中间证书颁发机构(CA)或外部根证书颁发机构... 我的证书具有以下认证路径:
EDIT5:我使用wireshark来捕获TLS协商。这是结果,我无法用它得出任何结论: