moooofly
commented
5 years ago 补充:
- 隧道代理中代理只负责建立浏览器到目标服务器之间的隧道 socket,有了隧道,可以认为浏览器和目标服务器直连。浏览器发出的数据,无论是 HTTP 还是 HTTPS,甚至其他 TCP,目标服务器都可以原样收到。
Open moooofly opened 5 years ago
moooofly
commented
5 years ago 补充:
在上篇《HTTP 代理原理及实现(一)》里,我介绍了 HTTP 代理的两种形式,并用 Node.js 实现了一个可用的普通 / 隧道代理。普通代理可以用来承载 HTTP 流量;隧道代理可以用来承载任何 TCP 流量,包括 HTTP 和 HTTPS。今天这篇文章介绍剩余部分:如何将浏览器与代理之间的流量传输升级为 HTTPS。
我们知道 TLS 有三大功能:内容加密、身份认证和数据完整性。其中内容加密依赖于密钥协商机制;数据完整性依赖于 MAC(Message authentication code)校验机制;而身份认证则依赖于证书认证机制。一般操作系统或浏览器会维护一个受信任根证书列表,包含在列表之中的证书,或者由列表中的证书签发的证书都会被客户端信任。
提供 HTTPS 服务的证书可以自己生成,然后手动加入到系统根证书列表中。但是对外提供服务的 HTTPS 网站,不可能要求每个用户都手动导入你的证书,所以更常见的做法是向 CA(Certificate Authority,证书颁发机构)申请。根据证书的不同级别,CA 会进行不同级别的验证,验证通过后 CA 会用他们的证书签发网站证书,这个过程通常是收费的(有免费的证书,最近免费的 Let's Encrypt 也很火,这里不多介绍)。由于 CA 使用的证书都是由广泛内置在各系统中的根证书签发,所以从 CA 获得的网站证书会被绝大部分客户端信任。
通过 CA 申请证书很简单,本文为了方便演示,采用自己签发证书的偷懒办法。现在广泛使用的证书是 x509.v3 格式,使用以下命令可以创建:
第二行命令运行后,需要填写一些证书信息。需要注意的是
Common Name一定要填写后续提供 HTTPS 服务的域名或 IP。例如你打算在本地测试,Common Name可以填写127.0.0.1。证书创建好之后,再将public.crt添加到系统受信任根证书列表中。为了确保添加成功,可以用浏览器验证一下:本文所有代码可以从这个仓库获得:proxy-demo。