在上篇《HTTP 代理原理及實(shí)現(xiàn)(一)》里，我介紹了 HTTP 代理的兩種形式，并用 Node.js 實(shí)現(xiàn)了一個(gè)可用的普通 / 隧道代理。普通代理可以用來(lái)承載 HTTP 流量;隧道代理可以用來(lái)承載任何 TCP 流量，包括 HTTP 和 HTTPS。今天這篇文章介紹剩余部分：如何將瀏覽器與代理之間的流量傳輸升級(jí)為 HTTPS。

上篇文章中實(shí)現(xiàn)的代理，是一個(gè)標(biāo)準(zhǔn)的 HTTP 服務(wù)，針對(duì)瀏覽器的普通請(qǐng)求和 CONNECT 請(qǐng)求，進(jìn)行不同的處理。Node.js 為創(chuàng)建 HTTP 或 HTTPS Server 提供了高度一致的接口，要將 HTTP 服務(wù)升級(jí)為 HTTPS 特別方便，只有一點(diǎn)點(diǎn)準(zhǔn)備工作要做。

我們知道 TLS 有三大功能：內(nèi)容加密、身份認(rèn)證和數(shù)據(jù)完整性。其中內(nèi)容加密依賴于密鑰協(xié)商機(jī)制;數(shù)據(jù)完整性依賴于 MAC(Message authentication code)校驗(yàn)機(jī)制;而身份認(rèn)證則依賴于證書認(rèn)證機(jī)制。一般操作系統(tǒng)或?yàn)g覽器會(huì)維護(hù)一個(gè)受信任根證書列表，包含在列表之中的證書，或者由列表中的證書簽發(fā)的證書都會(huì)被客戶端信任。

提供 HTTPS 服務(wù)的證書可以自己生成，然后手動(dòng)加入到系統(tǒng)根證書列表中。但是對(duì)外提供服務(wù)的 HTTPS 網(wǎng)站，不可能要求每個(gè)用戶都手動(dòng)導(dǎo)入你的證書，所以更常見(jiàn)的做法是向 CA(Certificate Authority，證書頒發(fā)機(jī)構(gòu))申請(qǐng)。根據(jù)證書的不同級(jí)別，CA 會(huì)進(jìn)行不同級(jí)別的驗(yàn)證，驗(yàn)證通過(guò)后 CA 會(huì)用他們的證書簽發(fā)網(wǎng)站證書，這個(gè)過(guò)程通常是收費(fèi)的(有免費(fèi)的證書，最近免費(fèi)的 Let’s Encrypt 也很火，這里不多介紹)。由于 CA 使用的證書都是由廣泛內(nèi)置在各系統(tǒng)中的根證書簽發(fā)，所以從 CA 獲得的網(wǎng)站證書會(huì)被絕大部分客戶端信任。

通過(guò) CA 申請(qǐng)證書很簡(jiǎn)單，本文為了方便演示，采用自己簽發(fā)證書的偷懶辦法?，F(xiàn)在廣泛使用的證書是 x509.v3 格式，使用以下命令可以創(chuàng)建：

openssl genrsa -out private.pem 2048 
 
openssl req -new -x509 -key private.pem -out public.crt -days 99999 

第二行命令運(yùn)行后，需要填寫一些證書信息。需要注意的是 Common Name 一定要填寫后續(xù)提供 HTTPS 服務(wù)的域名或 IP。例如你打算在本地測(cè)試，Common Name 可以填寫 127.0.0.1。證書創(chuàng)建好之后，再將 public.crt 添加到系統(tǒng)受信任根證書列表中。為了確保添加成功，可以用瀏覽器驗(yàn)證一下：

 [[157958]]

接著，可以改造之前的 Node.js 代碼了，需要改動(dòng)的地方不多：

JSvar http = require('http'); 
 
var https = require('https'); 
 
var fs = require('fs'); 
 
var net = require('net'); 
 
var url = require('url'); 
 
function request(cReq, cRes) { 
 
var u = url.parse(cReq.url); 
 
var options = { 
 
hostname : u.hostname, 
 
port : u.port || 80, 
 
path : u.path, 
 
method : cReq.method, 
 
headers : cReq.headers 
 
}; 
 
var pReq = http.request(options, function(pRes) { 
 
cRes.writeHead(pRes.statusCode, pRes.headers); 
 
pRes.pipe(cRes); 
 
}).on('error', function(e) { 
 
cRes.end(); 
 
}); 
 
cReq.pipe(pReq); 
 
} 
 
function connect(cReq, cSock) { 
 
var u = url.parse('http://' + cReq.url); 
 
var pSock = net.connect(u.port, u.hostname, function() { 
 
cSock.write('HTTP/1.1 200 Connection Established\r\n\r\n'); 
 
pSock.pipe(cSock); 
 
}).on('error', function(e) { 
 
cSock.end(); 
 
}); 
 
cSock.pipe(pSock); 
 
} 
 
var options = { 
 
key: fs.readFileSync('./private.pem'), 
 
cert: fs.readFileSync('./public.crt') 
 
}; 
 
https.createServer(options) 
 
.on('request', request) 
 
.on('connect', connect) 
 
.listen(8888, '0.0.0.0'); 

可以看到，除了將 http.createServer 換成 https.createServer，增加證書相關(guān)配置之外，這段代碼沒(méi)有任何改變。這也是引入 TLS 層的妙處，應(yīng)用層不需要任何改動(dòng)，就能獲得諸多安全特性。

運(yùn)行服務(wù)后，只需要將瀏覽器的代理設(shè)置為 HTTPS 127.0.0.1:8888 即可，功能照舊。這樣改造，只是將瀏覽器到代理之間的流量升級(jí)為了 HTTPS，代理自身邏輯、與服務(wù)端的通訊方式，都沒(méi)有任何變化。

***，還是寫段 Node.js 代碼驗(yàn)證下這個(gè) HTTPS 代理服務(wù)：

JSvar https = require('https'); 
 
var options = { 
 
hostname : '127.0.0.1', 
 
port : 8888, 
 
path : 'imququ.com:80', 
 
method : 'CONNECT' 
 
}; 
 
//禁用證書驗(yàn)證，不然自簽名的證書無(wú)法建立 TLS 連接 
 
process.env.NODE_TLS_REJECT_UNAUTHORIZED = "0"; 
 
var req = https.request(options); 
 
req.on('connect', function(res, socket) { 
 
socket.write('GET / HTTP/1.1\r\n' + 
 
'Host: imququ.com\r\n' + 
 
'Connection: Close\r\n' + 
 
'\r\n'); 
 
socket.on('data', function(chunk) { 
 
console.log(chunk.toString()); 
 
}); 
 
socket.on('end', function() { 
 
console.log('socket end.'); 
 
}); 
 
}); 
 
req.end(); 

這段代碼和上篇文章***那段的區(qū)別只是 http.request 換成了 https.request，運(yùn)行結(jié)果完全一樣，這里就不貼了。