TLS (SSL)#

稳定性:2 - 稳定

源代码: lib/tls.js

node:tls 模块提供了传输层安全 (TLS) 和安全套接字层 (SSL) 协议的实现,该协议建立在 OpenSSL 之上。可以使用以下方式访问该模块:

import tls from 'node:tls';const tls = require('node:tls');

确定加密支持是否不可用#

Node.js 可以在构建时不支持 node:crypto 模块。在这种情况下,尝试从 tls import 或调用 require('node:tls') 将会导致抛出错误。

使用 CommonJS 时,抛出的错误可以使用 try/catch 捕获。

let tls;
try {
  tls = require('node:tls');
} catch (err) {
  console.error('tls support is disabled!');
}

当使用词法 ESM import 关键字时,只有在尝试加载模块*之前*注册了 process.on('uncaughtException') 的处理程序(例如,使用预加载模块),才能捕获该错误。

使用 ESM 时,如果代码有可能在未启用加密支持的 Node.js 版本上运行,请考虑使用 import() 函数,而不是词法 import 关键字。

let tls;
try {
  tls = await import('node:tls');
} catch (err) {
  console.error('tls support is disabled!');
}

TLS/SSL 概念#

TLS/SSL 是一组协议,依赖于公钥基础设施 (PKI) 来实现客户端和服务器之间的安全通信。对于大多数常见情况,每个服务器都必须有一个私钥。

私钥可以通过多种方式生成。以下示例演示了如何使用 OpenSSL 命令行界面生成一个 2048 位的 RSA 私钥:

openssl genrsa -out ryans-key.pem 2048

使用 TLS/SSL 时,所有服务器(以及某些客户端)都必须有一个证书。证书是与私钥对应的公钥,并由证书颁发机构或私钥所有者进行数字签名(此类证书称为“自签名”证书)。获取证书的第一步是创建一个证书签名请求 (CSR) 文件。

OpenSSL 命令行界面可用于为私钥生成 CSR:

openssl req -new -sha256 -key ryans-key.pem -out ryans-csr.pem

CSR 文件生成后,可以将其发送给证书颁发机构进行签名,或用于生成自签名证书。

以下示例演示了如何使用 OpenSSL 命令行界面创建自签名证书:

openssl x509 -req -in ryans-csr.pem -signkey ryans-key.pem -out ryans-cert.pem

证书生成后,可用于生成 .pfx.p12 文件:

openssl pkcs12 -export -in ryans-cert.pem -inkey ryans-key.pem \
      -certfile ca-cert.pem -out ryans.pfx

其中:

  • in:是已签名的证书
  • inkey:是关联的私钥
  • certfile:是所有证书颁发机构 (CA) 证书拼接成的一个文件,例如 cat ca1-cert.pem ca2-cert.pem > ca-cert.pem

完全正向保密#

术语正向保密完全正向保密描述了密钥协商(即密钥交换)方法的一个特性。也就是说,服务器和客户端密钥用于协商新的临时密钥,这些临时密钥专用于当前通信会话。实际上,这意味着即使服务器的私钥被泄露,窃听者也只有在设法获取为该会话专门生成的密钥对时才能解密通信。

完全正向保密是通过在每次 TLS/SSL 握手时随机生成用于密钥协商的密钥对来实现的(与所有会话使用相同密钥形成对比)。实现这种技术的方法被称为“临时的”(ephemeral)。

目前有两种常用方法来实现完全正向保密(注意传统缩写后附加的字母“E”):

  • ECDHE:椭圆曲线 Diffie-Hellman 密钥协商协议的临时版本。
  • DHE:Diffie-Hellman 密钥协商协议的临时版本。

默认情况下启用使用 ECDHE 的完全正向保密。创建 TLS 服务器时,可以使用 ecdhCurve 选项来自定义要使用的支持的 ECDH 曲线列表。更多信息请参见 tls.createServer()

默认情况下禁用 DHE,但可以通过将 dhparam 选项设置为 'auto' 来与 ECDHE 一起启用。也支持自定义 DHE 参数,但建议使用自动选择的、众所周知的参数。

在 TLSv1.2 之前,完全正向保密是可选的。从 TLSv1.3 开始,总是使用 (EC)DHE(仅 PSK 连接除外)。

ALPN 和 SNI#

ALPN(应用层协议协商扩展)和 SNI(服务器名称指示)是 TLS 握手扩展:

  • ALPN:允许一个 TLS 服务器用于多种协议(HTTP、HTTP/2)。
  • SNI:允许一个 TLS 服务器用于多个具有不同证书的主机名。

预共享密钥#

TLS-PSK 支持是作为常规基于证书的身份验证的替代方案。它使用预共享密钥而不是证书来验证 TLS 连接,提供相互身份验证。TLS-PSK 和公钥基础设施并非相互排斥。客户端和服务器可以同时支持两者,在正常的密码协商步骤中选择其中之一。

TLS-PSK 仅适用于有办法安全地与每台连接的机器共享密钥的情况,因此它不能替代大多数 TLS 用例中的公钥基础设施 (PKI)。OpenSSL 中的 TLS-PSK 实现在近年来出现了许多安全漏洞,主要是因为它只被少数应用程序使用。在切换到 PSK 密码之前,请考虑所有替代方案。在生成 PSK 时,使用足够的熵至关重要,如 RFC 4086 中所讨论。从密码或其他低熵源派生共享密钥是不安全的。

默认情况下禁用 PSK 密码,因此使用 TLS-PSK 需要使用 ciphers 选项明确指定密码套件。可用密码列表可以通过 openssl ciphers -v 'PSK' 获取。所有 TLS 1.3 密码都适用于 PSK,可以通过 openssl ciphers -v -s -tls1_3 -psk 获取。在客户端连接上,应传递自定义的 checkServerIdentity,因为在没有证书的情况下,默认的会失败。

根据 RFC 4279,必须支持最长 128 字节的 PSK 身份和最长 64 字节的 PSK。从 OpenSSL 1.1.0 开始,最大身份大小为 128 字节,最大 PSK 长度为 256 字节。

由于底层 OpenSSL API 的限制,当前实现不支持异步 PSK 回调。

要使用 TLS-PSK,客户端和服务器必须指定 pskCallback 选项,这是一个返回要使用的 PSK 的函数(该 PSK 必须与所选密码的摘要兼容)。

它将首先在客户端上调用:

  • hint <string> 从服务器发送的可选消息,帮助客户端决定在协商期间使用哪个身份。如果使用 TLS 1.3,则始终为 null
  • 返回: <Object> 格式为 { psk: <Buffer|TypedArray|DataView>, identity: <string> }null

然后在服务器上:

返回值为 null 会停止协商过程,并向对方发送一个 unknown_psk_identity 警报消息。如果服务器希望隐藏 PSK 身份未知的事实,回调必须提供一些随机数据作为 psk,以使连接在协商完成前因 decrypt_error 而失败。

客户端发起的重新协商攻击缓解#

TLS 协议允许客户端重新协商 TLS 会话的某些方面。不幸的是,会话重新协商需要不成比例的服务器端资源,使其成为拒绝服务攻击的潜在途径。

为减轻风险,重新协商被限制为每十分钟三次。当超过此阈值时,tls.TLSSocket 实例上会触发一个 'error' 事件。这些限制是可配置的:

  • tls.CLIENT_RENEG_LIMIT <number> 指定重新协商请求的次数。默认值: 3
  • tls.CLIENT_RENEG_WINDOW <number> 指定重新协商窗口的时间(以秒为单位)。默认值: 600(10 分钟)。

在没有完全理解其影响和风险的情况下,不应修改默认的重新协商限制。

TLSv1.3 不支持重新协商。

会话恢复#

建立 TLS 会话可能相对较慢。通过保存并稍后重用会话状态,可以加快该过程。有几种机制可以做到这一点,这里从最旧到最新(也是首选的)进行讨论。

会话标识符#

服务器为新连接生成一个唯一的 ID 并将其发送给客户端。客户端和服务器保存会话状态。重新连接时,客户端发送其保存的会话状态的 ID,如果服务器也拥有该 ID 的状态,它可以同意使用它。否则,服务器将创建一个新会话。更多信息请参见 RFC 2246,第 23 页和第 30 页。

大多数 Web 浏览器在发出 HTTPS 请求时支持使用会话标识符进行恢复。

对于 Node.js,客户端等待 'session' 事件以获取会话数据,并将该数据提供给后续 tls.connect()session 选项以重用会话。服务器必须为 'newSession''resumeSession' 事件实现处理程序,以使用会话 ID 作为查找键来保存和恢复会话数据以重用会话。要在负载均衡器或集群工作进程之间重用会话,服务器必须在其会话处理程序中使用共享会话缓存(如 Redis)。

会话票证#

服务器加密整个会话状态,并将其作为“票证”发送给客户端。重新连接时,该状态在初始连接中发送给服务器。这种机制避免了对服务器端会话缓存的需求。如果服务器出于任何原因(解密失败、票证太旧等)不使用该票证,它将创建一个新会话并发送一个新票证。更多信息请参见 RFC 5077

许多 Web 浏览器在发出 HTTPS 请求时正普遍支持使用会话票证进行恢复。

对于 Node.js,客户端使用与会话标识符恢复相同的 API 来进行会话票证恢复。用于调试,如果 tls.TLSSocket.getTLSTicket() 返回一个值,则会话数据包含一个票证,否则它包含客户端会话状态。

使用 TLSv1.3 时,请注意服务器可能会发送多个票证,导致多个 'session' 事件,更多信息请参见 'session'

单进程服务器无需特定实现即可使用会话票证。要在服务器重启或负载均衡器之间使用会话票证,所有服务器必须具有相同的票证密钥。内部有三个 16 字节的密钥,但为方便起见,tls API 将它们公开为单个 48 字节的缓冲区。

可以通过在一个服务器实例上调用 server.getTicketKeys() 来获取票证密钥,然后分发它们,但更合理的做法是安全地生成 48 字节的安全随机数据,并使用 tls.createServer()ticketKeys 选项设置它们。密钥应定期重新生成,服务器的密钥可以使用 server.setTicketKeys() 重置。

会话票证密钥是加密密钥,必须安全存储。在 TLS 1.2 及更低版本中,如果它们被泄露,所有使用它们加密的票证的会话都可以被解密。它们不应存储在磁盘上,并且应定期重新生成。

如果客户端声明支持票证,服务器将发送它们。服务器可以通过在 secureOptions 中提供 require('node:constants').SSL_OP_NO_TICKET 来禁用票证。

会话标识符和会话票证都会超时,导致服务器创建新会话。超时可以通过 tls.createServer()sessionTimeout 选项进行配置。

对于所有机制,当恢复失败时,服务器将创建新会话。由于恢复会话失败不会导致 TLS/HTTPS 连接失败,因此很容易忽视不必要的 TLS 性能不佳。可以使用 OpenSSL CLI 来验证服务器是否正在恢复会话。使用 openssl s_client-reconnect 选项,例如:

openssl s_client -connect localhost:443 -reconnect

通读调试输出。第一次连接应该显示 "New",例如:

New, TLSv1.2, Cipher is ECDHE-RSA-AES128-GCM-SHA256

后续连接应该显示 "Reused",例如:

Reused, TLSv1.2, Cipher is ECDHE-RSA-AES128-GCM-SHA256

修改默认的 TLS 密码套件#

Node.js 内置了默认的已启用和已禁用的 TLS 密码套件。这个默认密码列表可以在构建 Node.js 时进行配置,以允许发行版提供自己的默认列表。

以下命令可用于显示默认的密码套件:

node -p crypto.constants.defaultCoreCipherList | tr ':' '\n'
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-GCM-SHA384
DHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
DHE-RSA-AES128-SHA256
ECDHE-RSA-AES256-SHA384
DHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA256
DHE-RSA-AES256-SHA256
HIGH
!aNULL
!eNULL
!EXPORT
!DES
!RC4
!MD5
!PSK
!SRP
!CAMELLIA

可以使用 --tls-cipher-list 命令行开关(直接使用,或通过 NODE_OPTIONS 环境变量)完全替换此默认值。例如,以下命令使 ECDHE-RSA-AES128-GCM-SHA256:!RC4 成为默认的 TLS 密码套件:

node --tls-cipher-list='ECDHE-RSA-AES128-GCM-SHA256:!RC4' server.js

export NODE_OPTIONS=--tls-cipher-list='ECDHE-RSA-AES128-GCM-SHA256:!RC4'
node server.js

要进行验证,请使用以下命令显示设置的密码列表,注意 defaultCoreCipherListdefaultCipherList 之间的区别:

node --tls-cipher-list='ECDHE-RSA-AES128-GCM-SHA256:!RC4' -p crypto.constants.defaultCipherList | tr ':' '\n'
ECDHE-RSA-AES128-GCM-SHA256
!RC4

即,defaultCoreCipherList 列表在编译时设置,而 defaultCipherList 在运行时设置。

要从运行时内部修改默认密码套件,请修改 tls.DEFAULT_CIPHERS 变量,这必须在监听任何套接字之前执行,它不会影响已经打开的套接字。例如:

// Remove Obsolete CBC Ciphers and RSA Key Exchange based Ciphers as they don't provide Forward Secrecy
tls.DEFAULT_CIPHERS +=
  ':!ECDHE-RSA-AES128-SHA:!ECDHE-RSA-AES128-SHA256:!ECDHE-RSA-AES256-SHA:!ECDHE-RSA-AES256-SHA384' +
  ':!ECDHE-ECDSA-AES128-SHA:!ECDHE-ECDSA-AES128-SHA256:!ECDHE-ECDSA-AES256-SHA:!ECDHE-ECDSA-AES256-SHA384' +
  ':!kRSA';

默认值也可以在每个客户端或服务器的基础上使用 tls.createSecureContext()ciphers 选项来替换,该选项也存在于 tls.createServer()tls.connect() 以及创建新的 tls.TLSSocket 时。

密码列表可以包含 TLSv1.3 密码套件名称(以 'TLS_' 开头)和 TLSv1.2 及以下密码套件规范的混合。TLSv1.2 密码支持传统的规范格式,详情请参阅 OpenSSL 密码列表格式 文档,但这些规范适用于 TLSv1.3 密码。TLSv1.3 套件只能通过在密码列表中包含其全名来启用。例如,不能使用传统的 TLSv1.2 'EECDH''!EECDH' 规范来启用或禁用它们。

尽管 TLSv1.3 和 TLSv1.2 密码套件的相对顺序如何,TLSv1.3 协议比 TLSv1.2 安全得多,并且如果握手表明支持它,并且有任何 TLSv1.3 密码套件被启用,则总是会优先选择 TLSv1.3 而非 TLSv1.2。

Node.js 中包含的默认密码套件经过精心挑选,以反映当前的安全最佳实践和风险缓解。更改默认密码套件可能会对应用程序的安全性产生重大影响。只有在绝对必要时才应使用 --tls-cipher-list 开关和 ciphers 选项。

默认密码套件为 Chrome 的“现代加密”设置首选 GCM 密码,并为完全正向保密首选 ECDHE 和 DHE 密码,同时提供一些向后兼容性。

依赖于不安全且已弃用的 RC4 或基于 DES 的密码的旧客户端(如 Internet Explorer 6)无法使用默认配置完成握手过程。如果必须支持这些客户端,TLS 建议可能会提供一个兼容的密码套件。有关格式的更多详细信息,请参阅 OpenSSL 密码列表格式 文档。

只有五个 TLSv1.3 密码套件:

  • 'TLS_AES_256_GCM_SHA384'
  • 'TLS_CHACHA20_POLY1305_SHA256'
  • 'TLS_AES_128_GCM_SHA256'
  • 'TLS_AES_128_CCM_SHA256'
  • 'TLS_AES_128_CCM_8_SHA256'

前三个默认启用。两个基于 CCM 的套件受 TLSv1.3 支持,因为它们在受限系统上可能性能更高,但默认情况下未启用,因为它们提供的安全性较低。

OpenSSL 安全级别#

OpenSSL 库强制执行安全级别,以控制加密操作的最低可接受安全级别。OpenSSL 的安全级别从 0 到 5,每个级别都强制执行更严格的安全要求。默认安全级别为 2,通常适用于大多数现代应用程序。然而,一些旧版功能和协议,如 TLSv1,需要较低的安全级别(SECLEVEL=0)才能正常工作。有关更详细的信息,请参阅 OpenSSL 关于安全级别的文档

设置安全级别#

要在 Node.js 应用程序中调整安全级别,您可以在密码字符串中包含 @SECLEVEL=X,其中 X 是所需的安全级别。例如,要将安全级别设置为 0,同时使用默认的 OpenSSL 密码列表,您可以使用:

import { createServer, connect } from 'node:tls';
const port = 443;

createServer({ ciphers: 'DEFAULT@SECLEVEL=0', minVersion: 'TLSv1' }, function(socket) {
  console.log('Client connected with protocol:', socket.getProtocol());
  socket.end();
  this.close();
})
.listen(port, () => {
  connect(port, { ciphers: 'DEFAULT@SECLEVEL=0', maxVersion: 'TLSv1' });
});const { createServer, connect } = require('node:tls');
const port = 443;

createServer({ ciphers: 'DEFAULT@SECLEVEL=0', minVersion: 'TLSv1' }, function(socket) {
  console.log('Client connected with protocol:', socket.getProtocol());
  socket.end();
  this.close();
})
.listen(port, () => {
  connect(port, { ciphers: 'DEFAULT@SECLEVEL=0', maxVersion: 'TLSv1' });
});

此方法将安全级别设置为 0,允许使用旧版功能,同时仍然利用默认的 OpenSSL 密码。

使用 --tls-cipher-list#

您还可以使用 --tls-cipher-list=DEFAULT@SECLEVEL=X 从命令行设置安全级别和密码,如 修改默认的 TLS 密码套件 中所述。但是,通常不鼓励使用命令行选项来设置密码,最好在应用程序代码中为单个上下文配置密码,因为这种方法提供了更精细的控制,并减少了全局降低安全级别的风险。

X509 证书错误代码#

多个函数可能会因为 OpenSSL 报告的证书错误而失败。在这种情况下,该函数通过其回调提供一个 <Error>,该错误具有一个 code 属性,该属性可以取以下值之一:

  • 'UNABLE_TO_GET_ISSUER_CERT':无法获取颁发者证书。
  • 'UNABLE_TO_GET_CRL':无法获取证书 CRL。
  • 'UNABLE_TO_DECRYPT_CERT_SIGNATURE':无法解密证书签名。
  • 'UNABLE_TO_DECRYPT_CRL_SIGNATURE':无法解密 CRL 的签名。
  • 'UNABLE_TO_DECODE_ISSUER_PUBLIC_KEY':无法解码颁发者公钥。
  • 'CERT_SIGNATURE_FAILURE':证书签名失败。
  • 'CRL_SIGNATURE_FAILURE':CRL 签名失败。
  • 'CERT_NOT_YET_VALID':证书尚未生效。
  • 'CERT_HAS_EXPIRED':证书已过期。
  • 'CRL_NOT_YET_VALID':CRL 尚未生效。
  • 'CRL_HAS_EXPIRED':CRL 已过期。
  • 'ERROR_IN_CERT_NOT_BEFORE_FIELD':证书的 notBefore 字段格式错误。
  • 'ERROR_IN_CERT_NOT_AFTER_FIELD':证书的 notAfter 字段格式错误。
  • 'ERROR_IN_CRL_LAST_UPDATE_FIELD':CRL 的 lastUpdate 字段格式错误。
  • 'ERROR_IN_CRL_NEXT_UPDATE_FIELD':CRL 的 nextUpdate 字段格式错误。
  • 'OUT_OF_MEM':内存不足。
  • 'DEPTH_ZERO_SELF_SIGNED_CERT':自签名证书。
  • 'SELF_SIGNED_CERT_IN_CHAIN':证书链中的自签名证书。
  • 'UNABLE_TO_GET_ISSUER_CERT_LOCALLY':无法在本地获取颁发者证书。
  • 'UNABLE_TO_VERIFY_LEAF_SIGNATURE':无法验证第一个证书。
  • 'CERT_CHAIN_TOO_LONG':证书链太长。
  • 'CERT_REVOKED':证书已吊销。
  • 'INVALID_CA':无效的 CA 证书。
  • 'PATH_LENGTH_EXCEEDED':路径长度约束超出。
  • 'INVALID_PURPOSE':不支持的证书用途。
  • 'CERT_UNTRUSTED':证书不受信任。
  • 'CERT_REJECTED':证书被拒绝。
  • 'HOSTNAME_MISMATCH':主机名不匹配。

当发生像 UNABLE_TO_VERIFY_LEAF_SIGNATUREDEPTH_ZERO_SELF_SIGNED_CERTUNABLE_TO_GET_ISSUER_CERT 这样的证书错误时,Node.js 会附加一个提示,建议如果根 CA 已在本地安装,则尝试使用 --use-system-ca 标志运行,以引导开发者走向安全的解决方案,防止不安全的变通方法。

类:tls.Server#

添加于:v0.3.2

接受使用 TLS 或 SSL 的加密连接。

事件:'connection'#

添加于:v0.3.2

此事件在新的 TCP 流建立时、TLS 握手开始之前触发。socket 通常是 net.Socket 类型的对象,但与从 net.Server'connection' 事件创建的套接字不同,它不会接收事件。通常用户不会想访问此事件。

此事件也可以由用户显式触发,以将连接注入到 TLS 服务器中。在这种情况下,可以传递任何 Duplex 流。

事件:'keylog'#

添加于:v12.3.0, v10.20.0
  • line <Buffer> ASCII 文本行,采用 NSS SSLKEYLOGFILE 格式。
  • tlsSocket <tls.TLSSocket> 生成它的 tls.TLSSocket 实例。

keylog 事件在连接到此服务器的连接生成或接收密钥材料时触发(通常在握手完成之前,但不一定)。此密钥材料可存储用于调试,因为它允许解密捕获的 TLS 流量。对于每个套接字,它可能会被多次触发。

一个典型的用例是将接收到的行附加到一个公共文本文件中,该文件稍后由软件(如 Wireshark)用于解密流量:

const logFile = fs.createWriteStream('/tmp/ssl-keys.log', { flags: 'a' });
// ...
server.on('keylog', (line, tlsSocket) => {
  if (tlsSocket.remoteAddress !== '...')
    return; // Only log keys for a particular IP
  logFile.write(line);
});

事件:'newSession'#

历史
版本变更
v0.11.12

现在支持 callback 参数。

v0.9.2

添加于:v0.9.2

'newSession' 事件在创建新的 TLS 会话时触发。这可用于在外部存储中存储会话。数据应提供给 'resumeSession' 回调。

监听器回调被调用时会传递三个参数:

  • sessionId <Buffer> TLS 会话标识符
  • sessionData <Buffer> TLS 会话数据
  • callback <Function> 一个不带参数的回调函数,必须被调用才能通过安全连接发送或接收数据。

监听此事件只会对添加事件监听器之后建立的连接产生影响。

事件:'OCSPRequest'#

添加于:v0.11.13

当客户端发送证书状态请求时,会触发 'OCSPRequest' 事件。监听器回调被调用时会传递三个参数:

  • certificate <Buffer> 服务器证书
  • issuer <Buffer> 颁发者证书
  • callback <Function> 一个必须被调用以提供 OCSP 请求结果的回调函数。

可以解析服务器的当前证书以获取 OCSP URL 和证书 ID;在获取 OCSP 响应后,调用 callback(null, resp),其中 resp 是一个包含 OCSP 响应的 Buffer 实例。certificateissuer 都是主证书和颁发者证书的 Buffer DER 表示。这些可用于获取 OCSP 证书 ID 和 OCSP 端点 URL。

或者,可以调用 callback(null, null),表示没有 OCSP 响应。

调用 callback(err) 将导致调用 socket.destroy(err)

OCSP 请求的典型流程如下:

  1. 客户端连接到服务器并发送一个 'OCSPRequest'(通过 ClientHello 中的状态信息扩展)。
  2. 服务器接收到请求并触发 'OCSPRequest' 事件,如果已注册监听器,则调用该监听器。
  3. 服务器从 certificateissuer 中提取 OCSP URL,并向 CA 执行一个 OCSP 请求
  4. 服务器从 CA 接收到 'OCSPResponse',并通过 callback 参数将其发送回客户端。
  5. 客户端验证响应,并销毁套接字或执行握手。

如果证书是自签名的或颁发者不在根证书列表中,issuer 可以为 null。(可以在建立 TLS 连接时通过 ca 选项提供颁发者。)

监听此事件只会对添加事件监听器之后建立的连接产生影响。

可以使用像 asn1.js 这样的 npm 模块来解析证书。

事件:'resumeSession'#

添加于:v0.9.2

当客户端请求恢复先前的 TLS 会话时,会触发 'resumeSession' 事件。监听器回调被调用时会传递两个参数:

  • sessionId <Buffer> TLS 会话标识符
  • callback <Function> 在恢复先前会话时要调用的回调函数:callback([err[, sessionData]])

事件监听器应使用给定的 sessionId 在外部存储中查找由 'newSession' 事件处理程序保存的 sessionData。如果找到,调用 callback(null, sessionData) 以恢复会话。如果未找到,则无法恢复会话。必须在不带 sessionData 的情况下调用 callback(),以便握手可以继续并创建新会话。可以调用 callback(err) 来终止传入连接并销毁套接字。

监听此事件只会对添加事件监听器之后建立的连接产生影响。

以下示例说明了如何恢复 TLS 会话:

const tlsSessionStore = {};
server.on('newSession', (id, data, cb) => {
  tlsSessionStore[id.toString('hex')] = data;
  cb();
});
server.on('resumeSession', (id, cb) => {
  cb(null, tlsSessionStore[id.toString('hex')] || null);
});

事件:'secureConnection'#

添加于:v0.3.2

在新连接的握手过程成功完成后,会触发 'secureConnection' 事件。监听器回调被调用时会传递一个参数:

tlsSocket.authorized 属性是一个 boolean 值,指示客户端是否已由服务器提供的某个证书颁发机构验证。如果 tlsSocket.authorizedfalse,则 socket.authorizationError 被设置以描述授权失败的原因。根据 TLS 服务器的设置,未授权的连接可能仍被接受。

tlsSocket.alpnProtocol 属性是一个字符串,包含所选的 ALPN 协议。当由于客户端或服务器未发送 ALPN 扩展而没有选择协议时,tlsSocket.alpnProtocol 等于 false

tlsSocket.servername 属性是一个字符串,包含通过 SNI 请求的服务器名称。

事件:'tlsClientError'#

添加于:v6.0.0

在建立安全连接之前发生错误时,会触发 'tlsClientError' 事件。监听器回调被调用时会传递两个参数:

  • exception <Error> 描述错误的 Error 对象
  • tlsSocket <tls.TLSSocket> 错误源自的 tls.TLSSocket 实例。

server.addContext(hostname, context)#

添加于:v0.5.3

server.addContext() 方法添加一个安全上下文,如果客户端请求的 SNI 名称与提供的 hostname(或通配符)匹配,则将使用该上下文。

当有多个匹配的上下文时,将使用最近添加的一个。

server.address()#

新增于: v0.6.0

返回操作系统报告的服务器的绑定地址、地址族名称和端口。更多信息请参见 net.Server.address()

server.close([callback])#

添加于:v0.3.2
  • callback <Function> 一个监听器回调,将被注册以监听服务器实例的 'close' 事件。
  • 返回: <tls.Server>

server.close() 方法停止服务器接受新连接。

此函数异步操作。当服务器没有更多打开的连接时,将触发 'close' 事件。

server.getTicketKeys()#

始于:v3.0.0
  • 返回: <Buffer> 一个包含会话票证密钥的 48 字节缓冲区。

返回会话票证密钥。

更多信息请参见 会话恢复

server.listen()#

启动服务器监听加密连接。此方法与 net.Server 中的 server.listen() 相同。

server.setSecureContext(options)#

添加于:v11.0.0

server.setSecureContext() 方法替换现有服务器的安全上下文。到服务器的现有连接不会被中断。

server.setTicketKeys(keys)#

始于:v3.0.0

设置会话票证密钥。

票证密钥的更改仅对未来的服务器连接有效。现有或当前待处理的服务器连接将使用以前的密钥。

更多信息请参见 会话恢复

类:tls.TLSSocket#

添加于:v0.11.4

对写入的数据进行透明加密并执行所有必需的 TLS 协商。

tls.TLSSocket 的实例实现了双工 Stream 接口。

返回 TLS 连接元数据的方法(例如 tls.TLSSocket.getPeerCertificate())只会在连接打开时返回数据。

new tls.TLSSocket(socket[, options])#

历史
版本变更
v12.2.0

现在支持 enableTrace 选项。

v5.0.0

现在支持 ALPN 选项。

v0.11.4

添加于:v0.11.4

  • socket <net.Socket> | <stream.Duplex> 在服务器端,任何 Duplex 流。在客户端,任何 net.Socket 的实例(要在客户端支持通用的 Duplex 流,必须使用 tls.connect())。
  • options <Object>
    • enableTrace:参见 tls.createServer()
    • isServer:SSL/TLS 协议是非对称的,TLSSockets 必须知道它们是作为服务器还是客户端。如果为 true,TLS 套接字将被实例化为服务器。默认值: false
    • server <net.Server> 一个 net.Server 实例。
    • requestCert:是否通过请求证书来验证远程对等方。客户端总是请求服务器证书。服务器(isServer 为 true)可以设置 requestCert 为 true 以请求客户端证书。
    • rejectUnauthorized:参见 tls.createServer()
    • ALPNProtocols:参见 tls.createServer()
    • SNICallback:参见 tls.createServer()
    • session <Buffer> 一个包含 TLS 会话的 Buffer 实例。
    • requestOCSP <boolean> 如果为 true,则指定 OCSP 状态请求扩展将被添加到客户端 hello 中,并且在建立安全通信之前将在套接字上触发一个 'OCSPResponse' 事件。
    • secureContext:使用 tls.createSecureContext() 创建的 TLS 上下文对象。如果提供 secureContext,将通过将整个 options 对象传递给 tls.createSecureContext() 来创建一个。
    • ...:如果缺少 secureContext 选项,则使用的 tls.createSecureContext() 选项。否则,它们将被忽略。

从现有 TCP 套接字构造一个新的 tls.TLSSocket 对象。

事件:'keylog'#

添加于:v12.3.0, v10.20.0
  • line <Buffer> ASCII 文本行,采用 NSS SSLKEYLOGFILE 格式。

当套接字生成或接收到密钥材料时,将在 tls.TLSSocket 上触发 keylog 事件。此密钥材料可存储用于调试,因为它允许解密捕获的 TLS 流量。它可能在握手完成之前或之后多次触发。

一个典型的用例是将接收到的行附加到一个公共文本文件中,该文件稍后由软件(如 Wireshark)用于解密流量:

const logFile = fs.createWriteStream('/tmp/ssl-keys.log', { flags: 'a' });
// ...
tlsSocket.on('keylog', (line) => logFile.write(line));

事件:'OCSPResponse'#

添加于:v0.11.13

如果创建 tls.TLSSocket 时设置了 requestOCSP 选项并且已收到 OCSP 响应,则会触发 'OCSPResponse' 事件。监听器回调被调用时会传递一个参数:

  • response <Buffer> 服务器的 OCSP 响应

通常,response 是来自服务器 CA 的数字签名对象,其中包含有关服务器证书吊销状态的信息。

事件:'secureConnect'#

添加于:v0.11.4

在新连接的握手过程成功完成后,会触发 'secureConnect' 事件。无论服务器的证书是否已被授权,都会调用监听器回调。客户端有责任检查 tlsSocket.authorized 属性以确定服务器证书是否由指定的 CA 之一签名。如果 tlsSocket.authorized === false,则可以通过检查 tlsSocket.authorizationError 属性来找到错误。如果使用了 ALPN,可以检查 tlsSocket.alpnProtocol 属性以确定协商的协议。

使用 new tls.TLSSocket() 构造函数创建 <tls.TLSSocket> 时,不会触发 'secureConnect' 事件。

事件:'session'#

添加于:v11.10.0

当有新的会话或 TLS 票证可用时,会在客户端 tls.TLSSocket 上触发 'session' 事件。这可能在握手完成之前或之后,具体取决于协商的 TLS 协议版本。该事件不会在服务器上触发,或者如果未创建新会话(例如,当连接被恢复时)。对于某些 TLS 协议版本,该事件可能会被多次触发,在这种情况下,所有会话都可用于恢复。

在客户端,可以将 session 提供给 tls.connect()session 选项以恢复连接。

更多信息请参见 会话恢复

对于 TLSv1.2 及更低版本,一旦握手完成,就可以调用 tls.TLSSocket.getSession()。对于 TLSv1.3,协议只允许基于票证的恢复,会发送多个票证,并且票证在握手完成后才发送。因此,必须等待 'session' 事件才能获得可恢复的会话。应用程序应使用 'session' 事件而不是 getSession(),以确保它们适用于所有 TLS 版本。只期望获取或使用一个会话的应用程序应只监听此事件一次:

tlsSocket.once('session', (session) => {
  // The session can be used immediately or later.
  tls.connect({
    session: session,
    // Other connect options...
  });
});

tlsSocket.address()#

历史
版本变更
v18.4.0

family 属性现在返回一个字符串而不是一个数字。

v18.0.0

family 属性现在返回一个数字而不是一个字符串。

v0.11.4

添加于:v0.11.4

返回操作系统报告的底层套接字的绑定 address、地址 family 名称和 port{ port: 12346, family: 'IPv4', address: '127.0.0.1' }

tlsSocket.authorizationError#

添加于:v0.11.4

返回对等方证书未被验证的原因。此属性仅在 tlsSocket.authorized === false 时设置。

tlsSocket.authorized#

添加于:v0.11.4

如果对等方证书由创建 tls.TLSSocket 实例时指定的 CA 之一签名,则此属性为 true,否则为 false

tlsSocket.disableRenegotiation()#

添加于:v8.4.0

为此 TLSSocket 实例禁用 TLS 重新协商。一旦调用,尝试重新协商将在 TLSSocket 上触发一个 'error' 事件。

tlsSocket.enableTrace()#

添加于:v12.2.0

启用后,TLS 数据包跟踪信息将被写入 stderr。这可用于调试 TLS 连接问题。

输出格式与 openssl s_client -traceopenssl s_server -trace 的输出相同。虽然它是由 OpenSSL 的 SSL_trace() 函数产生的,但该格式未被文档化,可能会在没有通知的情况下更改,不应依赖。

tlsSocket.encrypted#

添加于:v0.11.4

始终返回 true。这可用于区分 TLS 套接字和常规的 net.Socket 实例。

tlsSocket.exportKeyingMaterial(length, label[, context])#

添加于:v13.10.0, v12.17.0

密钥材料用于验证,以防止网络协议中各种类型的攻击,例如在 IEEE 802.1X 的规范中。

示例

const keyingMaterial = tlsSocket.exportKeyingMaterial(
  128,
  'client finished');

/*
 Example return value of keyingMaterial:
 <Buffer 76 26 af 99 c5 56 8e 42 09 91 ef 9f 93 cb ad 6c 7b 65 f8 53 f1 d8 d9
    12 5a 33 b8 b5 25 df 7b 37 9f e0 e2 4f b8 67 83 a3 2f cd 5d 41 42 4c 91
    74 ef 2c ... 78 more bytes>
*/

更多信息请参见 OpenSSL SSL_export_keying_material 文档。

tlsSocket.getCertificate()#

添加于:v11.2.0

返回一个表示本地证书的对象。返回的对象具有一些与证书字段对应的属性。

有关证书结构的示例,请参见 tls.TLSSocket.getPeerCertificate()

如果没有本地证书,将返回一个空对象。如果套接字已被销毁,将返回 null

tlsSocket.getCipher()#

历史
版本变更
v13.4.0, v12.16.0

将 IETF 密码名称作为 standardName 返回。

v12.0.0

返回最小密码版本,而不是固定的字符串('TLSv1/SSLv3')。

v0.11.4

添加于:v0.11.4

返回一个包含有关协商的密码套件信息的对象。

例如,一个使用 AES256-SHA 密码的 TLSv1.2 协议:

{
    "name": "AES256-SHA",
    "standardName": "TLS_RSA_WITH_AES_256_CBC_SHA",
    "version": "SSLv3"
}

更多信息请参见 SSL_CIPHER_get_name

tlsSocket.getEphemeralKeyInfo()#

添加于:v5.0.0

在客户端连接上,返回一个表示 完全正向保密 中临时密钥交换的类型、名称和参数大小的对象。当密钥交换不是临时的时候,它返回一个空对象。因为这仅在客户端套接字上支持;如果在服务器套接字上调用,则返回 null。支持的类型是 'DH''ECDH'name 属性仅在类型为 'ECDH' 时可用。

例如:{ type: 'ECDH', name: 'prime256v1', size: 256 }

tlsSocket.getFinished()#

添加于:v9.9.0
  • 返回: <Buffer> | <undefined> 作为 SSL/TLS 握手的一部分已发送到套接字的最新 Finished 消息,或者如果尚未发送 Finished 消息,则为 undefined

由于 Finished 消息是整个握手的消息摘要(对于 TLS 1.0 总共 192 位,对于 SSL 3.0 更多),当不需要或不足以使用 SSL/TLS 提供的身份验证时,它们可以用于外部身份验证过程。

对应于 OpenSSL 中的 SSL_get_finished 例程,可用于实现来自 RFC 5929tls-unique 通道绑定。

tlsSocket.getPeerCertificate([detailed])#

添加于:v0.11.4
  • detailed <boolean> 如果为 true,则包含完整的证书链,否则仅包含对等方的证书。
  • 返回: <Object> 一个证书对象。

返回一个表示对等方证书的对象。如果对等方不提供证书,将返回一个空对象。如果套接字已被销毁,将返回 null

如果请求了完整的证书链,每个证书将包含一个 issuerCertificate 属性,其中包含一个表示其颁发者证书的对象。

证书对象#
历史
版本变更
v19.1.0, v18.13.0

添加 "ca" 属性。

v17.2.0, v16.14.0

添加 fingerprint512。

v11.4.0

支持椭圆曲线公钥信息。

证书对象具有与证书字段对应的属性。

  • ca <boolean> 如果是证书颁发机构 (CA),则为 true,否则为 false
  • raw <Buffer> DER 编码的 X.509 证书数据。
  • subject <Object> 证书主题,用国家 (C)、州或省 (ST)、地区 (L)、组织 (O)、组织单位 (OU) 和通用名 (CN) 描述。通用名通常是 TLS 证书的 DNS 名称。示例:{C: 'UK', ST: 'BC', L: 'Metro', O: 'Node Fans', OU: 'Docs', CN: 'example.com'}
  • issuer <Object> 证书颁发者,用与 subject 相同的术语描述。
  • valid_from <string> 证书有效的起始日期时间。
  • valid_to <string> 证书有效的截止日期时间。
  • serialNumber <string> 证书序列号,为十六进制字符串。示例:'B9B0D332A1AA5635'
  • fingerprint <string> DER 编码证书的 SHA-1 摘要。以 : 分隔的十六进制字符串形式返回。示例:'2A:7A:C2:DD:...'
  • fingerprint256 <string> DER 编码证书的 SHA-256 摘要。以 : 分隔的十六进制字符串形式返回。示例:'2A:7A:C2:DD:...'
  • fingerprint512 <string> DER 编码证书的 SHA-512 摘要。以 : 分隔的十六进制字符串形式返回。示例:'2A:7A:C2:DD:...'
  • ext_key_usage <Array> (可选) 扩展密钥用法,一组 OID。
  • subjectaltname <string> (可选) 包含主题的串联名称的字符串,是 subject 名称的替代方案。
  • infoAccess <Array> (可选) 描述 AuthorityInfoAccess 的数组,与 OCSP 一起使用。
  • issuerCertificate <Object> (可选) 颁发者证书对象。对于自签名证书,这可能是一个循环引用。

证书可能包含有关公钥的信息,具体取决于密钥类型。

对于 RSA 密钥,可以定义以下属性:

  • bits <number> RSA 位大小。示例:1024
  • exponent <string> RSA 指数,为十六进制数表示法的字符串。示例:'0x010001'
  • modulus <string> RSA 模数,为十六进制字符串。示例:'B56CE45CB7...'
  • pubkey <Buffer> 公钥。

对于 EC 密钥,可以定义以下属性:

  • pubkey <Buffer> 公钥。
  • bits <number> 密钥大小(以位为单位)。示例:256
  • asn1Curve <string> (可选) 椭圆曲线 OID 的 ASN.1 名称。众所周知的曲线由 OID 标识。虽然不常见,但曲线也可能由其数学属性标识,在这种情况下它不会有 OID。示例:'prime256v1'
  • nistCurve <string> (可选) 椭圆曲线的 NIST 名称,如果它有的话(并非所有众所周知的曲线都已被 NIST 分配名称)。示例:'P-256'

示例证书:

{ subject:
   { OU: [ 'Domain Control Validated', 'PositiveSSL Wildcard' ],
     CN: '*.nodejs.org' },
  issuer:
   { C: 'GB',
     ST: 'Greater Manchester',
     L: 'Salford',
     O: 'COMODO CA Limited',
     CN: 'COMODO RSA Domain Validation Secure Server CA' },
  subjectaltname: 'DNS:*.nodejs.org, DNS:nodejs.org',
  infoAccess:
   { 'CA Issuers - URI':
      [ 'http://crt.comodoca.com/COMODORSADomainValidationSecureServerCA.crt' ],
     'OCSP - URI': [ 'http://ocsp.comodoca.com' ] },
  modulus: 'B56CE45CB740B09A13F64AC543B712FF9EE8E4C284B542A1708A27E82A8D151CA178153E12E6DDA15BF70FFD96CB8A88618641BDFCCA03527E665B70D779C8A349A6F88FD4EF6557180BD4C98192872BCFE3AF56E863C09DDD8BC1EC58DF9D94F914F0369102B2870BECFA1348A0838C9C49BD1C20124B442477572347047506B1FCD658A80D0C44BCC16BC5C5496CFE6E4A8428EF654CD3D8972BF6E5BFAD59C93006830B5EB1056BBB38B53D1464FA6E02BFDF2FF66CD949486F0775EC43034EC2602AEFBF1703AD221DAA2A88353C3B6A688EFE8387811F645CEED7B3FE46E1F8B9F59FAD028F349B9BC14211D5830994D055EEA3D547911E07A0ADDEB8A82B9188E58720D95CD478EEC9AF1F17BE8141BE80906F1A339445A7EB5B285F68039B0F294598A7D1C0005FC22B5271B0752F58CCDEF8C8FD856FB7AE21C80B8A2CE983AE94046E53EDE4CB89F42502D31B5360771C01C80155918637490550E3F555E2EE75CC8C636DDE3633CFEDD62E91BF0F7688273694EEEBA20C2FC9F14A2A435517BC1D7373922463409AB603295CEB0BB53787A334C9CA3CA8B30005C5A62FC0715083462E00719A8FA3ED0A9828C3871360A73F8B04A4FC1E71302844E9BB9940B77E745C9D91F226D71AFCAD4B113AAF68D92B24DDB4A2136B55A1CD1ADF39605B63CB639038ED0F4C987689866743A68769CC55847E4A06D6E2E3F1',
  exponent: '0x10001',
  pubkey: <Buffer ... >,
  valid_from: 'Aug 14 00:00:00 2017 GMT',
  valid_to: 'Nov 20 23:59:59 2019 GMT',
  fingerprint: '01:02:59:D9:C3:D2:0D:08:F7:82:4E:44:A4:B4:53:C5:E2:3A:87:4D',
  fingerprint256: '69:AE:1A:6A:D4:3D:C6:C1:1B:EA:C6:23:DE:BA:2A:14:62:62:93:5C:7A:EA:06:41:9B:0B:BC:87:CE:48:4E:02',
  fingerprint512: '19:2B:3E:C3:B3:5B:32:E8:AE:BB:78:97:27:E4:BA:6C:39:C9:92:79:4F:31:46:39:E2:70:E5:5F:89:42:17:C9:E8:64:CA:FF:BB:72:56:73:6E:28:8A:92:7E:A3:2A:15:8B:C2:E0:45:CA:C3:BC:EA:40:52:EC:CA:A2:68:CB:32',
  ext_key_usage: [ '1.3.6.1.5.5.7.3.1', '1.3.6.1.5.5.7.3.2' ],
  serialNumber: '66593D57F20CBC573E433381B5FEC280',
  raw: <Buffer ... > }

tlsSocket.getPeerFinished()#

添加于:v9.9.0
  • 返回: <Buffer> | <undefined> 作为 SSL/TLS 握手的一部分预期或实际已从套接字接收的最新 Finished 消息,或者如果到目前为止没有 Finished 消息,则为 undefined

由于 Finished 消息是整个握手的消息摘要(对于 TLS 1.0 总共 192 位,对于 SSL 3.0 更多),当不需要或不足以使用 SSL/TLS 提供的身份验证时,它们可以用于外部身份验证过程。

对应于 OpenSSL 中的 SSL_get_peer_finished 例程,可用于实现来自 RFC 5929tls-unique 通道绑定。

tlsSocket.getPeerX509Certificate()#

添加于:v15.9.0

将对等方证书作为 <X509Certificate> 对象返回。

如果没有对等方证书,或者套接字已被销毁,将返回 undefined

tlsSocket.getProtocol()#

添加于:v5.7.0

返回一个包含当前连接协商的 SSL/TLS 协议版本的字符串。对于已连接但尚未完成握手过程的套接字,将返回 'unknown'。对于服务器套接字或已断开连接的客户端套接字,将返回 null

协议版本是:

  • 'SSLv3'
  • 'TLSv1'
  • 'TLSv1.1'
  • 'TLSv1.2'
  • 'TLSv1.3'

更多信息请参见 OpenSSL SSL_get_version 文档。

tlsSocket.getSession()#

添加于:v0.11.4

返回 TLS 会话数据,如果未协商会话,则返回 undefined。在客户端,可以将数据提供给 tls.connect()session 选项以恢复连接。在服务器上,它可能对调试有用。

更多信息请参见 会话恢复

注意:getSession() 仅适用于 TLSv1.2 及更低版本。对于 TLSv1.3,应用程序必须使用 'session' 事件(它也适用于 TLSv1.2 及更低版本)。

tlsSocket.getSharedSigalgs()#

添加于:v12.11.0
  • 返回: <Array> 服务器和客户端之间共享的签名算法列表,按优先级降序排列。

更多信息请参见 SSL_get_shared_sigalgs

tlsSocket.getTLSTicket()#

添加于:v0.11.4

对于客户端,如果可用,则返回 TLS 会话票证,否则返回 undefined。对于服务器,始终返回 undefined

它可能对调试有用。

更多信息请参见 会话恢复

tlsSocket.getX509Certificate()#

添加于:v15.9.0

将本地证书作为 <X509Certificate> 对象返回。

如果没有本地证书,或者套接字已被销毁,将返回 undefined

tlsSocket.isSessionReused()#

添加于:v0.5.6
  • 返回: <boolean> 如果会话被重用,则为 true,否则为 false

更多信息请参见 会话恢复

tlsSocket.localAddress#

添加于:v0.11.4

返回本地 IP 地址的字符串表示形式。

tlsSocket.localPort#

添加于:v0.11.4

返回本地端口的数字表示形式。

tlsSocket.remoteAddress#

添加于:v0.11.4

返回远程 IP 地址的字符串表示形式。例如,'74.125.127.100''2001:4860:a005::68'

tlsSocket.remoteFamily#

添加于:v0.11.4

返回远程 IP 族的字符串表示形式。'IPv4''IPv6'

tlsSocket.remotePort#

添加于:v0.11.4

返回远程端口的数字表示形式。例如,443

tlsSocket.renegotiate(options, callback)#

历史
版本变更
v18.0.0

现在向 callback 参数传递一个无效的回调会抛出 ERR_INVALID_ARG_TYPE,而不是 ERR_INVALID_CALLBACK

v0.11.8

新增于:v0.11.8

  • options <Object>

    • rejectUnauthorized <boolean> 如果不为 false,则根据提供的 CA 列表验证服务器证书。如果验证失败,则会触发 'error' 事件;err.code 包含 OpenSSL 错误代码。默认值: true
    • requestCert

  • callback <Function> 如果 renegotiate() 返回 true,回调将一次性附加到 'secure' 事件。如果 renegotiate() 返回 falsecallback 将在下一个 tick 中被调用并带有一个错误,除非 tlsSocket 已被销毁,在这种情况下 callback 将根本不会被调用。

  • 返回: <boolean> 如果重新协商已启动,则为 true,否则为 false

tlsSocket.renegotiate() 方法启动 TLS 重新协商过程。完成后,callback 函数将被传递一个参数,该参数要么是 Error(如果请求失败),要么是 null

此方法可用于在建立安全连接后请求对等方的证书。

当作为服务器运行时,套接字将在 handshakeTimeout 超时后被销毁并带有一个错误。

对于 TLSv1.3,无法启动重新协商,协议不支持它。

tlsSocket.setKeyCert(context)#

新增于:v22.5.0, v20.17.0

tlsSocket.setKeyCert() 方法为套接字设置要使用的私钥和证书。这主要在希望从 TLS 服务器的 ALPNCallback 中选择服务器证书时非常有用。

tlsSocket.setMaxSendFragment(size)#

新增于:v0.11.11
  • size <number> TLS 片段的最大大小。最大值为 16384默认值: 16384
  • 返回:<boolean>

tlsSocket.setMaxSendFragment() 方法设置 TLS 片段的最大大小。如果设置限制成功,则返回 true;否则返回 false

较小的片段大小可以减少客户端的缓冲延迟:较大的片段会被 TLS 层缓冲,直到接收到整个片段并验证其完整性;大片段可能跨越多个往返,并且它们的处理可能会因数据包丢失或重排序而延迟。然而,较小的片段会增加额外的 TLS 帧字节和 CPU 开销,这可能会降低服务器的整体吞吐量。

tls.checkServerIdentity(hostname, cert)#

历史
版本变更
v17.3.1、v16.13.2、v14.18.3、v12.22.9

为响应 CVE-2021-44531,已禁用对 uniformResourceIdentifier 主体备用名称的支持。

v0.8.4

新增于:v0.8.4

验证证书 cert 是否颁发给了 hostname

失败时返回一个 <Error> 对象,并在其中填充 reasonhostcert。成功时返回 <undefined>

此函数旨在与可以传递给 tls.connect()checkServerIdentity 选项结合使用,因此它操作的是一个证书对象。对于其他目的,请考虑使用 x509.checkHost()

可以通过提供一个替代函数作为传递给 tls.connect()options.checkServerIdentity 选项来覆盖此函数。当然,覆盖函数可以调用 tls.checkServerIdentity(),以通过额外的验证来增强已有的检查。

只有当证书通过所有其他检查时,例如由受信任的 CA 颁发(options.ca),才会调用此函数。

早期版本的 Node.js 错误地接受了给定 hostname 的证书,只要存在匹配的 uniformResourceIdentifier 主体备用名称(参见 CVE-2021-44531)。希望接受 uniformResourceIdentifier 主体备用名称的应用程序可以使用一个实现了所需行为的自定义 options.checkServerIdentity 函数。

tls.connect(options[, callback])#

历史
版本变更
v15.1.0、v14.18.0

增加了 onread 选项。

v14.1.0, v13.14.0

现在接受 highWaterMark 选项。

v13.6.0, v12.16.0

现在支持 pskCallback 选项。

v12.9.0

支持 allowHalfOpen 选项。

v12.4.0

现在支持 hints 选项。

v12.2.0

现在支持 enableTrace 选项。

v11.8.0、v10.16.0

现在支持 timeout 选项。

v8.0.0

现在支持 lookup 选项。

v8.0.0

ALPNProtocols 选项现在可以是 TypedArrayDataView

v5.0.0

现在支持 ALPN 选项。

v5.3.0、v4.7.0

现在支持 secureContext 选项。

v0.11.3

添加于:v0.11.3

  • options <Object>
    • enableTrace:参见 tls.createServer()
    • host <string> 客户端应连接的主机。默认值: 'localhost'
    • port <number> 客户端应连接的端口。
    • path <string> 创建到指定路径的 Unix 套接字连接。如果指定此选项,则忽略 hostport
    • socket <stream.Duplex> 在给定的套接字上建立安全连接,而不是创建新的套接字。通常,这是 net.Socket 的实例,但允许任何 Duplex 流。如果指定了此选项,则除了证书验证外,pathhostport 都会被忽略。通常,传递给 tls.connect() 的套接字已经连接,但也可以稍后连接。socket 的连接/断开/销毁由用户负责;调用 tls.connect() 不会导致调用 net.connect()
    • allowHalfOpen <boolean> 如果设置为 false,则当可读端结束时,套接字将自动结束可写端。如果设置了 socket 选项,则此选项无效。有关详细信息,请参阅 net.SocketallowHalfOpen 选项。默认值: false
    • rejectUnauthorized <boolean> 如果不为 false,则根据提供的 CA 列表验证服务器证书。如果验证失败,则会触发 'error' 事件;err.code 包含 OpenSSL 错误代码。默认值: true
    • pskCallback <Function> 用于 TLS-PSK 协商,请参阅预共享密钥
    • ALPNProtocols <string[]> | <Buffer[]> | <TypedArray[]> | <DataView[]> | <Buffer> | <TypedArray> | <DataView> 包含支持的 ALPN 协议的字符串、BufferTypedArrayDataView 的数组,或单个 BufferTypedArrayDataViewBuffer 应采用 [len][name][len][name]... 的格式,例如 '\x08http/1.1\x08http/1.0',其中 len 字节是下一个协议名称的长度。传递数组通常更简单,例如 ['http/1.1', 'http/1.0']。列表中较早的协议比后面的协议有更高的优先级。
    • servername <string> 用于 SNI (服务器名称指示) TLS 扩展的服务器名称。它是要连接的主机的名称,必须是主机名,而不是 IP 地址。多宿主服务器可以使用它来选择正确的证书呈现给客户端,请参阅 tls.createServer()SNICallback 选项。
    • checkServerIdentity(servername, cert) <Function> 在检查服务器的主机名(或显式设置 servername 时的值)与证书时使用的回调函数(而不是内置的 tls.checkServerIdentity() 函数)。如果验证失败,它应该返回一个 <Error>。如果 servernamecert 验证通过,该方法应返回 undefined
    • session <Buffer> 一个包含 TLS 会话的 Buffer 实例。
    • minDHSize <number> 接受 TLS 连接的 DH 参数的最小大小(以位为单位)。当服务器提供的 DH 参数大小小于 minDHSize 时,TLS 连接将被销毁并抛出错误。默认值: 1024
    • highWaterMark <number> 与可读流的 highWaterMark 参数一致。默认值: 16 * 1024
    • secureContext:使用 tls.createSecureContext() 创建的 TLS 上下文对象。如果提供 secureContext,将通过将整个 options 对象传递给 tls.createSecureContext() 来创建一个。
    • onread <Object> 如果缺少 socket 选项,传入的数据将存储在单个 buffer 中,并在数据到达套接字时传递给提供的 callback,否则该选项将被忽略。有关详细信息,请参阅 net.Socketonread 选项。
    • ...: 如果缺少 secureContext 选项,则使用 tls.createSecureContext() 的选项,否则它们将被忽略。
    • ...: 任何未列出的 socket.connect() 选项。
  • callback <Function>
  • 返回:<tls.TLSSocket>

如果指定了 callback 函数,它将被添加为 'secureConnect' 事件的监听器。

tls.connect() 返回一个 tls.TLSSocket 对象。

https API 不同,tls.connect() 默认不启用 SNI (服务器名称指示) 扩展,这可能导致一些服务器返回不正确的证书或完全拒绝连接。要启用 SNI,除了 host 之外,还要设置 servername 选项。

下面演示了 tls.createServer() 回显服务器示例的客户端

// Assumes an echo server that is listening on port 8000.
import { connect } from 'node:tls';
import { readFileSync } from 'node:fs';
import { stdin } from 'node:process';

const options = {
  // Necessary only if the server requires client certificate authentication.
  key: readFileSync('client-key.pem'),
  cert: readFileSync('client-cert.pem'),

  // Necessary only if the server uses a self-signed certificate.
  ca: [ readFileSync('server-cert.pem') ],

  // Necessary only if the server's cert isn't for "localhost".
  checkServerIdentity: () => { return null; },
};

const socket = connect(8000, options, () => {
  console.log('client connected',
              socket.authorized ? 'authorized' : 'unauthorized');
  stdin.pipe(socket);
  stdin.resume();
});
socket.setEncoding('utf8');
socket.on('data', (data) => {
  console.log(data);
});
socket.on('end', () => {
  console.log('server ends connection');
});// Assumes an echo server that is listening on port 8000.
const { connect } = require('node:tls');
const { readFileSync } = require('node:fs');

const options = {
  // Necessary only if the server requires client certificate authentication.
  key: readFileSync('client-key.pem'),
  cert: readFileSync('client-cert.pem'),

  // Necessary only if the server uses a self-signed certificate.
  ca: [ readFileSync('server-cert.pem') ],

  // Necessary only if the server's cert isn't for "localhost".
  checkServerIdentity: () => { return null; },
};

const socket = connect(8000, options, () => {
  console.log('client connected',
              socket.authorized ? 'authorized' : 'unauthorized');
  process.stdin.pipe(socket);
  process.stdin.resume();
});
socket.setEncoding('utf8');
socket.on('data', (data) => {
  console.log(data);
});
socket.on('end', () => {
  console.log('server ends connection');
});

要为此示例生成证书和密钥,请运行:

openssl req -x509 -newkey rsa:2048 -nodes -sha256 -subj '/CN=localhost' \
  -keyout client-key.pem -out client-cert.pem

然后,要为此示例生成 server-cert.pem 证书,请运行

openssl pkcs12 -certpbe AES-256-CBC -export -out server-cert.pem \
  -inkey client-key.pem -in client-cert.pem

tls.connect(path[, options][, callback])#

添加于:v0.11.3

tls.connect() 相同,只是 path 可以作为参数而不是选项提供。

如果指定了路径选项,它将优先于路径参数。

tls.connect(port[, host][, options][, callback])#

添加于:v0.11.3

tls.connect() 相同,只是 porthost 可以作为参数而不是选项提供。

如果指定了端口或主机选项,它将优先于任何端口或主机参数。

tls.createSecureContext([options])#

历史
版本变更
v22.9.0, v20.18.0

已添加 allowPartialTrustChain 选项。

v22.4.0, v20.16.0

clientCertEngineprivateKeyEngineprivateKeyIdentifier 选项依赖于 OpenSSL 中的自定义引擎支持,该支持在 OpenSSL 3 中已弃用。

v19.8.0, v18.16.0

dhparam 选项现在可以设置为 'auto',以使用适当的知名参数启用 DHE。

v12.12.0

增加了 privateKeyIdentifierprivateKeyEngine 选项,以从 OpenSSL 引擎获取私钥。

v12.11.0

增加了 sigalgs 选项来覆盖支持的签名算法。

v12.0.0

增加了 TLSv1.3 支持。

v11.5.0

ca: 选项现在支持 BEGIN TRUSTED CERTIFICATE

v11.4.0、v10.16.0

minVersionmaxVersion 可用于限制允许的 TLS 协议版本。

v10.0.0

由于 OpenSSL 的更改,ecdhCurve 不能再设置为 false

v9.3.0

options 参数现在可以包含 clientCertEngine

v9.0.0

ecdhCurve 选项现在可以是多个由 ':' 分隔的曲线名称或 'auto'

v7.3.0

如果 key 选项是一个数组,单个条目不再需要 passphrase 属性。Array 条目现在也可以只是 stringBuffer

v5.2.0

ca 选项现在可以是一个包含多个 CA 证书的字符串。

v0.11.13

添加于:v0.11.13

  • options <Object>
    • allowPartialTrustChain <boolean> 将信任 CA 证书列表中的中间(非自签名)证书视为受信任。
    • ca <string> | <string[]> | <Buffer> | <Buffer[]> 可选地覆盖受信任的 CA 证书。如果未指定,默认受信任的 CA 证书与使用 default 类型调用 tls.getCACertificates() 返回的证书相同。如果指定了,默认列表将被 ca 选项中的证书完全替换(而不是拼接)。如果用户希望添加额外的证书而不是完全覆盖默认值,则需要手动拼接。该值可以是字符串或 Buffer,或者是字符串和/或 BufferArray。任何字符串或 Buffer 都可以包含多个连接在一起的 PEM CA。对等方的证书必须能链接到服务器信任的 CA,连接才能被验证。当使用无法链接到众所周知的 CA 的证书时,必须明确将证书的 CA 指定为受信任的,否则连接将无法验证。如果对等方使用的证书与默认 CA 之一不匹配或无法链接,请使用 ca 选项提供一个对等方证书可以匹配或链接到的 CA 证书。对于自签名证书,证书本身就是其 CA,必须提供。对于 PEM 编码的证书,支持的类型是 "TRUSTED CERTIFICATE"、"X509 CERTIFICATE" 和 "CERTIFICATE"。
    • cert <string> | <string[]> | <Buffer> | <Buffer[]> PEM 格式的证书链。每个私钥应提供一个证书链。每个证书链应由为提供的私钥 key 的 PEM 格式证书、紧随其后的 PEM 格式的中间证书(如果有)按顺序组成,且不包括根 CA(根 CA 必须是对方预先知道的,参见 ca)。当提供多个证书链时,它们不必与 key 中的私钥顺序相同。如果未提供中间证书,对方将无法验证证书,握手将失败。
    • sigalgs <string> 以冒号分隔的支持的签名算法列表。该列表可以包含摘要算法(SHA256MD5 等)、公钥算法(RSA-PSSECDSA 等)、两者的组合(例如 'RSA+SHA384')或 TLS v1.3 方案名称(例如 rsa_pss_pss_sha512)。更多信息请参阅 OpenSSL man pages
    • ciphers <string> 密码套件规范,替换默认值。更多信息,请参阅修改默认的 TLS 密码套件。允许的密码可以通过 tls.getCiphers() 获取。密码名称必须大写,以便 OpenSSL 接受它们。
    • clientCertEngine <string> 可以提供客户端证书的 OpenSSL 引擎的名称。已弃用。
    • crl <string> | <string[]> | <Buffer> | <Buffer[]> PEM 格式的 CRL(证书吊销列表)。
    • dhparam <string> | <Buffer> 'auto' 或自定义 Diffie-Hellman 参数,对于非 ECDHE 完全前向保密是必需的。如果省略或无效,参数将被静默丢弃,DHE 密码将不可用。基于 ECDHE完全前向保密仍然可用。
    • ecdhCurve <string> 一个描述命名曲线的字符串,或一个以冒号分隔的曲线 NID 或名称列表,例如 P-521:P-384:P-256,用于 ECDH 密钥协商。设置为 auto 以自动选择曲线。使用 crypto.getCurves() 获取可用曲线名称的列表。在最近的版本中,openssl ecparam -list_curves 也将显示每个可用椭圆曲线的名称和描述。默认值: tls.DEFAULT_ECDH_CURVE
    • honorCipherOrder <boolean> 尝试使用服务器的密码套件偏好,而不是客户端的。当为 true 时,会导致在 secureOptions 中设置 SSL_OP_CIPHER_SERVER_PREFERENCE,更多信息请参阅 OpenSSL 选项
    • key <string> | <string[]> | <Buffer> | <Buffer[]> | <Object[]> PEM 格式的私钥。PEM 允许私钥被加密。加密的密钥将使用 options.passphrase 解密。可以使用不同算法的多个密钥,可以是一个未加密的密钥字符串或缓冲区的数组,或者是一个形式为 {pem: <string|buffer>[, passphrase: <string>]} 的对象数组。对象形式只能出现在数组中。object.passphrase 是可选的。加密的密钥如果提供了 object.passphrase,将用它解密,否则用 options.passphrase 解密。
    • privateKeyEngine <string> 从中获取私钥的 OpenSSL 引擎的名称。应与 privateKeyIdentifier 一起使用。已弃用。
    • privateKeyIdentifier <string> 由 OpenSSL 引擎管理的私钥的标识符。应与 privateKeyEngine 一起使用。不应与 key 一起设置,因为这两个选项以不同的方式定义私钥。已弃用。
    • maxVersion <string> 可选地设置允许的最高 TLS 版本。可以是 'TLSv1.3''TLSv1.2''TLSv1.1''TLSv1' 之一。不能与 secureProtocol 选项一起指定;请使用其中之一。默认值: tls.DEFAULT_MAX_VERSION
    • minVersion <string> 可选地设置允许的最低 TLS 版本。可以是 'TLSv1.3''TLSv1.2''TLSv1.1''TLSv1' 之一。不能与 secureProtocol 选项一起指定;请使用其中之一。避免设置为低于 TLSv1.2,但为了互操作性可能需要这样做。TLSv1.2 之前的版本可能需要降低 OpenSSL 安全级别默认值: tls.DEFAULT_MIN_VERSION
    • passphrase <string> 用于单个私钥和/或 PFX 的共享密码短语。
    • pfx <string> | <string[]> | <Buffer> | <Buffer[]> | <Object[]> PFX 或 PKCS12 编码的私钥和证书链。pfx 是单独提供 keycert 的替代方案。PFX 通常是加密的,如果是,将使用 passphrase 来解密它。可以提供多个 PFX,可以是一个未加密的 PFX 缓冲区的数组,或者是一个形式为 {buf: <string|buffer>[, passphrase: <string>]} 的对象数组。对象形式只能出现在数组中。object.passphrase 是可选的。加密的 PFX 如果提供了 object.passphrase,将用它解密,否则用 options.passphrase 解密。
    • secureOptions <number> 可选地影响 OpenSSL 协议行为,这通常不是必需的。如果使用,应该非常小心!值是来自 OpenSSL 选项SSL_OP_* 选项的数字位掩码。
    • secureProtocol <string> 用于选择要使用的 TLS 协议版本的传统机制,它不支持独立控制最小和最大版本,也不支持将协议限制为 TLSv1.3。请改用 minVersionmaxVersion。可能的值列在 SSL_METHODS 中,请使用函数名作为字符串。例如,使用 'TLSv1_1_method' 强制使用 TLS 版本 1.1,或使用 'TLS_method' 允许任何最高到 TLSv1.3 的 TLS 协议版本。不建议使用低于 1.2 的 TLS 版本,但为了互操作性可能需要这样做。默认值: 无,参见 minVersion
    • sessionIdContext <string> 服务器使用的不透明标识符,以确保会话状态不在应用程序之间共享。客户端不使用。
    • ticketKeys <Buffer> 48 字节的加密强度伪随机数据。更多信息请参阅会话恢复
    • sessionTimeout <number> 服务器创建的 TLS 会话在此秒数后将不再可恢复。更多信息请参阅会话恢复默认值: 300

tls.createServer()honorCipherOrder 选项的默认值设置为 true,其他创建安全上下文的 API 则不设置它。

tls.createServer() 使用从 process.argv 生成的 128 位截断 SHA1 哈希值作为 sessionIdContext 选项的默认值,其他创建安全上下文的 API 没有默认值。

tls.createSecureContext() 方法创建一个 SecureContext 对象。它可以作为多个 tls API(例如 server.addContext())的参数使用,但没有公共方法。tls.Server 构造函数和 tls.createServer() 方法不支持 secureContext 选项。

对于使用证书的密码,密钥是*必需的*。可以使用 keypfx 来提供它。

如果没有给出 ca 选项,那么 Node.js 将默认使用Mozilla 的公共信任 CA 列表

不鼓励使用自定义 DHE 参数,而推荐使用新的 dhparam: 'auto' 选项。当设置为 'auto' 时,将自动选择具有足够强度的知名 DHE 参数。否则,如有必要,可以使用 openssl dhparam 创建自定义参数。密钥长度必须大于或等于 1024 位,否则将抛出错误。虽然 1024 位是允许的,但为了更强的安全性,请使用 2048 位或更大。

tls.createServer([options][, secureConnectionListener])#

历史
版本变更
v22.4.0, v20.16.0

clientCertEngine 选项依赖于 OpenSSL 中的自定义引擎支持,该支持在 OpenSSL 3 中已弃用。

v19.0.0

如果设置了 ALPNProtocols,发送带有 ALPN 扩展但没有支持协议的传入连接将以致命的 no_application_protocol 警报终止。

v20.4.0、v18.19.0

options 参数现在可以包含 ALPNCallback

v12.3.0

options 参数现在支持 net.createServer() 选项。

v9.3.0

options 参数现在可以包含 clientCertEngine

v8.0.0

ALPNProtocols 选项现在可以是 TypedArrayDataView

v5.0.0

现在支持 ALPN 选项。

v0.3.2

添加于:v0.3.2

  • options <Object>
    • ALPNProtocols <string[]> | <Buffer[]> | <TypedArray[]> | <DataView[]> | <Buffer> | <TypedArray> | <DataView> 包含支持的 ALPN 协议的字符串、BufferTypedArrayDataView 的数组,或单个 BufferTypedArrayDataViewBuffer 应采用 [len][name][len][name]... 格式,例如 0x05hello0x05world,其中第一个字节是下一个协议名称的长度。传递数组通常更简单,例如 ['hello', 'world']。(协议应按其优先级排序。)
    • ALPNCallback <Function> 如果设置,当客户端使用 ALPN 扩展打开连接时,将调用此函数。一个参数将传递给回调:一个包含 servernameprotocols 字段的对象,分别包含来自 SNI 扩展的服务器名称(如果有)和 ALPN 协议名称字符串的数组。回调必须返回 protocols 中列出的字符串之一,该字符串将作为选定的 ALPN 协议返回给客户端,或者返回 undefined,以致命警报拒绝连接。如果返回的字符串与客户端的任何 ALPN 协议都不匹配,将抛出错误。此选项不能与 ALPNProtocols 选项一起使用,同时设置这两个选项将抛出错误。
    • clientCertEngine <string> 可以提供客户端证书的 OpenSSL 引擎的名称。已弃用。
    • enableTrace <boolean> 如果为 true,将在新连接上调用 tls.TLSSocket.enableTrace()。可以在安全连接建立后启用跟踪,但必须使用此选项来跟踪安全连接的建立过程。默认值: false
    • handshakeTimeout <number> 如果 SSL/TLS 握手在指定的毫秒数内未完成,则中止连接。每当握手超时时,tls.Server 对象上会发出一个 'tlsClientError' 事件。默认值: 120000(120 秒)。
    • rejectUnauthorized <boolean> 如果不为 false,服务器将拒绝任何未经提供的 CA 列表授权的连接。此选项仅在 requestCerttrue 时有效。默认值: true
    • requestCert <boolean> 如果为 true,服务器将向连接的客户端请求证书并尝试验证该证书。默认值: false
    • sessionTimeout <number> 服务器创建的 TLS 会话在此秒数后将不再可恢复。更多信息请参阅会话恢复默认值: 300
    • SNICallback(servername, callback) <Function> 如果客户端支持 SNI TLS 扩展,将调用此函数。调用时会传递两个参数:servernamecallbackcallback 是一个错误优先的回调函数,它接受两个可选参数:errorctx。如果提供了 ctx,它是一个 SecureContext 实例。tls.createSecureContext() 可用于获取一个合适的 SecureContext。如果使用一个假值的 ctx 参数调用 callback,将使用服务器的默认安全上下文。如果未提供 SNICallback,将使用具有高级 API 的默认回调(见下文)。
    • ticketKeys <Buffer> 48 字节的加密强度伪随机数据。更多信息请参阅会话恢复
    • pskCallback <Function> 用于 TLS-PSK 协商,请参阅预共享密钥
    • pskIdentityHint <string> 发送给客户端的可选提示,以帮助在 TLS-PSK 协商期间选择身份。在 TLS 1.3 中将被忽略。设置 pskIdentityHint 失败时,将发出带有 'ERR_TLS_PSK_SET_IDENTITY_HINT_FAILED' 代码的 'tlsClientError' 事件。
    • ...: 可以提供任何 tls.createSecureContext() 选项。对于服务器,通常需要身份选项(pfxkey/certpskCallback)。
    • ...: 可以提供任何 net.createServer() 选项。
  • secureConnectionListener <Function>
  • 返回: <tls.Server>

创建一个新的 tls.Server。如果提供了 secureConnectionListener,它会自动被设置为 'secureConnection' 事件的监听器。

ticketKeys 选项在 node:cluster 模块的工作进程之间自动共享。

下面演示了一个简单的回显服务器

import { createServer } from 'node:tls';
import { readFileSync } from 'node:fs';

const options = {
  key: readFileSync('server-key.pem'),
  cert: readFileSync('server-cert.pem'),

  // This is necessary only if using client certificate authentication.
  requestCert: true,

  // This is necessary only if the client uses a self-signed certificate.
  ca: [ readFileSync('client-cert.pem') ],
};

const server = createServer(options, (socket) => {
  console.log('server connected',
              socket.authorized ? 'authorized' : 'unauthorized');
  socket.write('welcome!\n');
  socket.setEncoding('utf8');
  socket.pipe(socket);
});
server.listen(8000, () => {
  console.log('server bound');
});const { createServer } = require('node:tls');
const { readFileSync } = require('node:fs');

const options = {
  key: readFileSync('server-key.pem'),
  cert: readFileSync('server-cert.pem'),

  // This is necessary only if using client certificate authentication.
  requestCert: true,

  // This is necessary only if the client uses a self-signed certificate.
  ca: [ readFileSync('client-cert.pem') ],
};

const server = createServer(options, (socket) => {
  console.log('server connected',
              socket.authorized ? 'authorized' : 'unauthorized');
  socket.write('welcome!\n');
  socket.setEncoding('utf8');
  socket.pipe(socket);
});
server.listen(8000, () => {
  console.log('server bound');
});

要为此示例生成证书和密钥,请运行:

openssl req -x509 -newkey rsa:2048 -nodes -sha256 -subj '/CN=localhost' \
  -keyout server-key.pem -out server-cert.pem

然后,要为此示例生成 client-cert.pem 证书,请运行

openssl pkcs12 -certpbe AES-256-CBC -export -out client-cert.pem \
  -inkey server-key.pem -in server-cert.pem

可以通过使用 tls.connect() 中的示例客户端连接到该服务器来对其进行测试。

tls.setDefaultCACertificates(certs)#

添加于:v24.5.0, v22.19.0

设置 Node.js TLS 客户端使用的默认 CA 证书。如果提供的证书解析成功,它们将成为 tls.getCACertificates() 返回的默认 CA 证书列表,并被后续未指定自己 CA 证书的 TLS 连接使用。在设置为默认值之前,证书将被去重。

此函数仅影响当前的 Node.js 线程。由 HTTPS 代理缓存的先前会话不会受此更改的影响,因此应在进行任何不希望被缓存的 TLS 连接之前调用此方法。

要使用系统 CA 证书作为默认值

const tls = require('node:tls');
tls.setDefaultCACertificates(tls.getCACertificates('system'));import tls from 'node:tls';
tls.setDefaultCACertificates(tls.getCACertificates('system'));

此函数完全替换默认的 CA 证书列表。要向现有的默认值中添加其他证书,请获取当前证书并追加到它们后面

const tls = require('node:tls');
const currentCerts = tls.getCACertificates('default');
const additionalCerts = ['-----BEGIN CERTIFICATE-----\n...'];
tls.setDefaultCACertificates([...currentCerts, ...additionalCerts]);import tls from 'node:tls';
const currentCerts = tls.getCACertificates('default');
const additionalCerts = ['-----BEGIN CERTIFICATE-----\n...'];
tls.setDefaultCACertificates([...currentCerts, ...additionalCerts]);

tls.getCACertificates([type])#

始于:v23.10.0, v22.15.0
  • type <string> | <undefined> 将返回的 CA 证书的类型。有效值为 "default""system""bundled""extra"默认值: "default"
  • 返回:<string[]> 一个 PEM 编码的证书数组。如果同一个证书在多个来源中重复存储,数组可能包含重复项。

根据 type 返回一个包含来自不同来源的 CA 证书的数组

  • "default":返回 Node.js TLS 客户端默认使用的 CA 证书。
  • "system":根据 --use-system-ca 设置的规则,返回从系统信任存储加载的 CA 证书。当未启用 --use-system-ca 时,可以使用此选项获取系统证书。
  • "bundled":返回捆绑的 Mozilla CA 存储中的 CA 证书。这将与 tls.rootCertificates 相同。
  • "extra":返回从 NODE_EXTRA_CA_CERTS 加载的 CA 证书。如果未设置 NODE_EXTRA_CA_CERTS,则为空数组。

tls.getCiphers()#

新增于:v0.10.2

返回一个包含支持的 TLS 密码名称的数组。由于历史原因,名称为小写,但必须大写才能在 tls.createSecureContext()ciphers 选项中使用。

并非所有支持的密码都默认启用。请参阅修改默认的 TLS 密码套件

'tls_' 开头的密码名称用于 TLSv1.3,所有其他的都用于 TLSv1.2 及以下版本。

console.log(tls.getCiphers()); // ['aes128-gcm-sha256', 'aes128-sha', ...]

tls.rootCertificates#

添加于:v12.3.0

一个不可变的字符串数组,代表当前 Node.js 版本提供的捆绑 Mozilla CA 存储中的根证书(PEM 格式)。

由 Node.js 提供的捆绑 CA 存储是 Mozilla CA 存储在发布时的快照。它在所有支持的平台上都是相同的。

要获取当前 Node.js 实例使用的实际 CA 证书,其中可能包括从系统存储加载的证书(如果使用 --use-system-ca)或从 NODE_EXTRA_CA_CERTS 指定的文件加载的证书,请使用 tls.getCACertificates()

tls.DEFAULT_ECDH_CURVE#

历史
版本变更
v10.0.0

默认值更改为 'auto'

v0.11.13

添加于:v0.11.13

在 tls 服务器中用于 ECDH 密钥协商的默认曲线名称。默认值为 'auto'。更多信息请参阅 tls.createSecureContext()

tls.DEFAULT_MAX_VERSION#

新增于:v11.4.0
  • 类型:<string> tls.createSecureContext()maxVersion 选项的默认值。可以赋值为任何支持的 TLS 协议版本:'TLSv1.3''TLSv1.2''TLSv1.1''TLSv1'默认值: 'TLSv1.3',除非使用 CLI 选项更改。使用 --tls-max-v1.2 将默认值设置为 'TLSv1.2'。使用 --tls-max-v1.3 将默认值设置为 'TLSv1.3'。如果提供了多个选项,则使用最高的最大值。

tls.DEFAULT_MIN_VERSION#

新增于:v11.4.0
  • 类型:<string> tls.createSecureContext()minVersion 选项的默认值。可以赋值为任何支持的 TLS 协议版本:'TLSv1.3''TLSv1.2''TLSv1.1''TLSv1'。TLSv1.2 之前的版本可能需要降低 OpenSSL 安全级别默认值: 'TLSv1.2',除非使用 CLI 选项更改。使用 --tls-min-v1.0 将默认值设置为 'TLSv1'。使用 --tls-min-v1.1 将默认值设置为 'TLSv1.1'。使用 --tls-min-v1.3 将默认值设置为 'TLSv1.3'。如果提供了多个选项,则使用最低的最小值。

tls.DEFAULT_CIPHERS#

添加于:v0.11.3
  • 类型:<string> tls.createSecureContext()ciphers 选项的默认值。可以赋值为任何支持的 OpenSSL 密码。默认为 crypto.constants.defaultCoreCipherList 的内容,除非使用 CLI 选项 --tls-default-ciphers 更改。