服務(wù)端和客戶端各有一對公鑰和私鑰，使用公鑰加密的數(shù)據(jù)只能用私鑰解密，建立https傳輸之前，客戶端和服務(wù)端互換公鑰?？蛻舳税l(fā)送數(shù)據(jù)前使用服務(wù)端公鑰加密，服務(wù)端接收到數(shù)據(jù)后使用私鑰解密，反之亦如此。

1. 公鑰私鑰的生成可用openssl（linux，mac自帶，windows上需要自己安裝）工具來生成，具體生成步驟如下：

// 生成服務(wù)器端私鑰
$ openssl genrsa -out server.key 1024 //生成服務(wù)端公鑰
$ openssl rsa -in server.key -pubout -out server.pem

如果只使用公鑰/私鑰，會面臨一個(gè)問題，中間人攻擊。在客戶端與服務(wù)端呼喚公鑰的過程中，中間人對服務(wù)端充當(dāng)客戶端，對客戶端充當(dāng)服務(wù)端的角色。服務(wù)端和客戶端很難感受到中間人的存在。為了應(yīng)對這種情況，還需要對得到的服務(wù)端公鑰進(jìn)行認(rèn)證，確定這個(gè)公鑰是來自你訪問的網(wǎng)站。證書里包含了服務(wù)器的名稱，主機(jī)名，服務(wù)端的公鑰，簽發(fā)證書機(jī)構(gòu)的名稱，來自簽名頒發(fā)機(jī)構(gòu)的簽名。在客戶端拿到公鑰后會對簽名的公鑰進(jìn)行檢查是否來自目標(biāo)服務(wù)器，這樣避免中間人攻擊，生成簽名證書的過程如下，（需要用戶輸入的信息隨便填寫吧，偷懶的話可以一路敲回車）

2. 生成自簽名證書?
CA(Certificate Authority，數(shù)字證書認(rèn)證中心)?
CA的作用是為站點(diǎn)頒發(fā)證書，且這個(gè)證書有CA通過自己的公鑰和私鑰實(shí)現(xiàn)的簽名。通過CA機(jī)構(gòu)頒發(fā)證書耗時(shí)耗力（貴啊！！！淘寶有單域名證書。。。）。這里使用自簽名證書，說白了就說自己扮演CA機(jī)構(gòu)，給自己頒發(fā)證書。

//生成CA私鑰
$ openssl genrsa -out ca.key 1024//生成csr文件
$ openssl req -new -key ca.key -out ca.csr//生成自簽名證書
$ openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt//生成server.csr文件
$ openssl req -new -key server.key -out server.csr//生成帶有ca簽名的證書
$ openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt

3.?使用express和https進(jìn)行配置服務(wù)

const https = require('https');
const fs = require('fs');
const path = require('path');
const express = require('express')
const ip = require("address").ip()
const app = express();
app.use(express.static("./"))
const options = {key: fs.readFileSync(path.join(__dirname, 'ssl/server.key')),cert: fs.readFileSync(path.join(__dirname, 'ssl/server.crt')),
};
const server = https.createServer(options, app);
server.listen(3000, () => {console.log(`server is running at ${ip}:3000/vnc.html`)
})

使用chrome訪問自簽名網(wǎng)站會提示不安全（選擇繼續(xù)就行）

使用腳手架工具生成的代碼把a(bǔ)pp.listen 轉(zhuǎn)接到httsServer.listen就可以了（暫未找到其他方法直接生成使用https的腳手架）