Я пытаюсь загрузить файл с сервера jira, используя URL-адрес, но получаю сообщение об ошибке. как включить сертификат в код для проверки ошибки:

Error: unable to verify the first certificate in nodejs

at Error (native)
    at TLSSocket.<anonymous> (_tls_wrap.js:929:36)

  at TLSSocket.emit (events.js:104:17)

at TLSSocket._finishInit (_tls_wrap.js:460:8)

Мой код Nodejs:

var https = require("https");
var fs = require('fs');
var options = {
    host: 'jira.example.com',
    path: '/secure/attachment/206906/update.xlsx'
};

https.get(options, function (http_res) {

    var data = "";


    http_res.on("data", function (chunk) {

        data += chunk;
    });


    http_res.on("end", function () {

        var file = fs.createWriteStream("file.xlsx");
        data.pipe(file);

    });
});

Попробуйте добавить соответствующий корневой сертификат

Это всегда будет гораздо более безопасным вариантом, чем просто слепое принятие неавторизованных конечных точек, которые, в свою очередь, должны использоваться только в крайнем случае.

Это может быть так же просто, как добавить

require('https').globalAgent.options.ca = require('ssl-root-cas/latest').create();

в ваше приложение.

НПЙ пакет SSL корневых центров сертификации (как здесь используется) очень полезный пакет относительно этой проблемы.

Еще один грязный прием, который сделает все ваши запросы небезопасными:

process.env['NODE_TLS_REJECT_UNAUTHORIZED'] = 0

для невозможности проверить первый сертификат в nodejs необходимо отклонить неавторизованный

 request({method: "GET", 
        "rejectUnauthorized": false, 
        "url": url,
        "headers" : {"Content-Type": "application/json",
        function(err,data,body) {
    }).pipe(
       fs.createWriteStream('file.html'));

Сервер, с которого вы пытаетесь выполнить загрузку, может быть неправильно настроен. Даже если он работает в вашем браузере, он может не включать в цепочку все общедоступные сертификаты, необходимые для проверки клиентом с пустым кешем.

Рекомендую проверить сайт в инструменте SSLlabs: https://www.ssllabs.com/ssltest/

Ищите эту ошибку:

Цепочка сертификатов этого сервера неполная.

И это:

Проблемы с цепочкой ......... Не завершено

unable to verify the first certificate

Цепочка сертификатов неполная.

Это означает, что веб-сервер, к которому вы подключаетесь, неправильно настроен и не включил промежуточный сертификат в цепочку сертификатов, которую он вам отправил.

Цепочка сертификатов

Скорее всего, это выглядит так:

1. Сертификат сервера - хранит сертификат, подписанный промежуточным звеном.
2. Промежуточный сертификат - хранит сертификат, подписанный root.
3. Корневой сертификат - хранит самозаверяющий сертификат.

На сервере должен быть установлен промежуточный сертификат вместе с сертификатом сервера.
Корневые сертификаты встроены в программные приложения, браузеры и операционные системы.

Приложение, обслуживающее сертификат, должно отправить полную цепочку, то есть сам сертификат сервера и все промежуточные звенья. Предполагается, что корневой сертификат известен клиенту.

Воссоздайте проблему

Перейдите на https://incomplete-chain.badssl.com в браузере.

Ошибок не отображается (замок в адресной строке зеленый).
Это потому, что браузеры, как правило, завершают цепочку, если она не отправляется с сервера.

Теперь подключитесь к https://incomplete-chain.badssl.com, используя Node:

// index.js
const axios = require('axios');

axios.get('https://incomplete-chain.badssl.com')
  .then(function (response) {
    console.log(response);
  })
  .catch(function (error) {
    console.log(error);
  });

Журналы: « Ошибка: не удалось проверить первый сертификат ».

Решение

Вам необходимо самостоятельно заполнить цепочку сертификатов.

Для этого:

1: Вам нужно получить недостающий промежуточный сертификат в .pemформате, затем

2a: расширить встроенное хранилище сертификатов Node, используя NODE_EXTRA_CA_CERTS,

2b: или передайте собственный комплект сертификатов (промежуточные и корневой) с помощью caoption.

1. Как получить промежуточный сертификат?

Использование openssl(поставляется с Git для Windows ).

Сохраните данные сертификата удаленного сервера:

openssl s_client -connect incomplete-chain.badssl.com:443 -servername incomplete-chain.badssl.com | tee logcertfile

Ищем эмитента (промежуточный сертификат является эмитентом / подписчиком сертификата сервера):

openssl x509 -in logcertfile -noout -text | grep -i "issuer"

Он должен предоставить вам URI сертификата подписи. Загрузить:

curl --output intermediate.crt http://cacerts.digicert.com/DigiCertSHA2SecureServerCA.crt

Наконец, преобразуйте его в .pem:

openssl x509 -inform DER -in intermediate.crt -out intermediate.pem -text

2а. NODE_EXTRA_CERTS

Я использую cross-env для установки переменных среды в package.jsonфайле:

"start": "cross-env NODE_EXTRA_CA_CERTS=\"C:\\Users\\USERNAME\\Desktop\\ssl-connect\\intermediate.pem\" node index.js"

2b. caвариант

Эта опция будет перезаписывать встроенные корневые центры сертификации узла.

Вот почему нам нужно создать собственный корневой ЦС. Используйте ssl-root-cas .

Затем создайте настраиваемый httpsагент, настроенный с помощью нашего пакета сертификатов (корневой и промежуточный). Передайте этого агента axiosпри отправке запроса.

// index.js
const axios = require('axios');
const path = require('path');
const https = require('https');
const rootCas = require('ssl-root-cas').create();

rootCas.addFile(path.resolve(__dirname, 'intermediate.pem'));
const httpsAgent = new https.Agent({ca: rootCas});

axios.get('https://incomplete-chain.badssl.com', { httpsAgent })
  .then(function (response) {
    console.log(response);
  })
  .catch(function (error) {
    console.log(error);
  });

Вместо того, чтобы создавать настраиваемый httpsагент и передавать его axios, вы можете разместить сертификаты на httpsглобальном агенте:

// Applies to ALL requests (whether using https directly or the request module)
https.globalAgent.options.ca = rootCas;

Ресурсы:

1. https://levelup.gitconnected.com/how-to-resolve-certificate-errors-in-nodejs-app-involving-ssl-calls-781ce48daded
2. https://www.npmjs.com/package/ssl-root-cas
3. https://github.com/nodejs/node/issues/16336
4. https://www.namecheap.com/support/knowledgebase/article.aspx/9605/69/how-to-check-ca-chain-installation
5. /superuser/97201/how-to-save-a-remote-server-ssl-certificate-locally-as-a-file/
6. Как конвертировать .crt в .pem

Это фактически решило это для меня, из https://www.npmjs.com/package/ssl-root-cas

// INCORRECT (but might still work)
var server = https.createServer({
  key: fs.readFileSync('privkey.pem', 'ascii'),
  cert: fs.readFileSync('cert.pem', 'ascii') // a PEM containing ONLY the SERVER certificate
});

// CORRECT (should always work)
var server = https.createServer({
  key: fs.readFileSync('privkey.pem', 'ascii'),
  cert: fs.readFileSync('fullchain.pem', 'ascii') // a PEM containing the SERVER and ALL INTERMEDIATES
});

Вы можете сделать это, изменив параметры запроса, как показано ниже. Если вы используете самозаверяющий сертификат или отсутствующего посредника, установка для strictSSL значения false не приведет к принудительному пакету запроса для проверки сертификата.

var options = {
   host: 'jira.example.com',
   path: '/secure/attachment/206906/update.xlsx',
   strictSSL: false
}

Сертификат GoDaddy SSL CC

Я испытал это, пытаясь подключиться к нашему внутреннему серверу API с сертификатом GoDaddy, и вот код, который я использовал для решения проблемы.

var rootCas = require('ssl-root-cas/latest').create();

rootCas
  .addFile(path.join(__dirname, '../config/ssl/gd_bundle-g2-g1.crt'))
  ;

// will work with all https requests will all libraries (i.e. request.js)
require('https').globalAgent.options.ca = rootCas;

PS:

Используйте прилагаемый сертификат и не забудьте установить библиотеку npm install ssl-root-cas

Это сработало для меня => добавление агента и для параметра rejectUnauthorized установлено значение false

const https = require('https'); //Add This
const bindingGridData = async () => {
  const url = `your URL-Here`;
  const request = new Request(url, {
    method: 'GET',
    headers: new Headers({
      Authorization: `Your Token If Any`,
      'Content-Type': 'application/json',
    }),
    //Add The Below
    agent: new https.Agent({
      rejectUnauthorized: false,
    }),
  });
  return await fetch(request)
    .then((response: any) => {
      return response.json();
    })
    .then((response: any) => {
      console.log('response is', response);
      return response;
    })
    .catch((err: any) => {
      console.log('This is Error', err);
      return;
    });
};

Другой способ решить эту проблему - использовать следующий модуль.

node_extra_ca_certs_mozilla_bundle

Этот модуль может работать без каких-либо изменений кода, создавая файл PEM, который включает все корневые и промежуточные сертификаты, которым доверяет Mozilla. Вы можете использовать следующую переменную среды (работает с Nodejs v7.3 +),

NODE_EXTRA_CA_CERTS

Чтобы создать файл PEM для использования с указанной выше переменной среды. Вы можете установить модуль, используя:

npm install --save node_extra_ca_certs_mozilla_bundle

а затем запустите сценарий узла с переменной среды.

NODE_EXTRA_CA_CERTS=node_modules/node_extra_ca_certs_mozilla_bundle/ca_bundle/ca_intermediate_root_bundle.pem node your_script.js

Другие способы использования сгенерированного файла PEM доступны по адресу:

https://github.com/arvind-agarwal/node_extra_ca_certs_mozilla_bundle

ПРИМЕЧАНИЕ: я являюсь автором вышеуказанного модуля.

Я использовал модуль nodemailer npm. Приведенный ниже код решил проблему

     tls: {
     // do not fail on invalid certs
     rejectUnauthorized: false
     }