在网络安全领域，SSL/TLS证书是保障数据传输安全的核心。作为Node.js开发者，你可能需要动态读取证书内容（比如验证域名、检查有效期或自动化监控）。本文将用大白话+实例，教你3种Node.js获取SSL证书内容的实用方法。

一、为什么要获取SSL证书内容？

想象一下：你运营一个电商网站，突然发现证书过期了，用户看到浏览器警告直接关掉页面，损失惨重。如果提前用Node.js脚本自动检查证书有效期，就能避免这种事故。常见场景包括：

- 监控证书过期（比如提前30天报警）

- 验证域名匹配（防止钓鱼证书）

- 调试HTTPS连接问题（查看证书链是否完整）

二、方法1：用`tls`模块直接获取远程证书

Node.js内置的`tls`模块可以轻松获取远程服务器的证书。原理是模拟一个客户端连接，但不发送实际数据。

```javascript

const tls = require('tls');

const socket = tls.connect(443, 'www.example.com', { rejectUnauthorized: false }, () => {

const cert = socket.getPeerCertificate(); // 关键API

console.log('证书信息:', cert);

socket.end();

});

// 输出示例：

// {

// subject: { CN: 'example.com', O: 'Example Inc' },

// issuer: { C: 'US', O: 'Let\'s Encrypt' },

// valid_from: 'Jan 01 2025',

// valid_to: 'Apr 01 2025',

// serialNumber: '1234ABCD...'

// }

```

注意事项：

- `rejectUnauthorized: false`表示即使证书无效（如自签名）也继续连接。

- 实战用途：批量检查子公司网站证书是否统一由企业CA签发。

三、方法2：解析本地PEM文件（适合自有证书）

如果你有服务器的`.pem`或`.crt`文件，可以用`crypto`模块直接读取：

const fs = require('fs');

const crypto = require('crypto');

const pemContent = fs.readFileSync('./certificate.pem', 'utf8');

const certDetails = crypto.X509Certificate(pemContent); // Node.js v15.9.0+

console.log('有效期至:', certDetails.validTo);

// 输出：有效期至: Dec 31 2025 23:59:59 GMT

常见问题：

- Q：为什么我的Node.js版本报错？

A：`X509Certificate`需要Node.js≥15.9.0，旧版本可用第三方库如`pem-parser`。

四、方法3：用第三方库`node-forge`（高级解析）

当需要深度解析证书时（比如提取公钥或扩展字段），推荐使用`node-forge`：

const forge = require('node-forge');

const pem = fs.readFileSync('./cert.pem');

const certObj = forge.pki.certificateFromPem(pem);

console.log('SAN(备用域名):', certObj.extensions.find(ext => ext.name === 'subjectAltName').altNames.map(d => d.value));

典型应用场景：

- 检查多域名覆盖范围（确认CDN/子域名是否在SAN列表中）

- 提取公钥指纹（用于白名单比对）

五、安全注意事项

1. 敏感信息泄露风险

日志中误打印私钥？完蛋！建议这样脱敏处理：

```javascript

console.log(cert.serialNumber.replace(/(.{4}).+(.{4})/, '$1$2'));

```

2. 验证 issuer 字段

黑客可能伪造证书，务必检查颁发者：

if (cert.issuer.O !== 'Trusted CA Inc') throw new Error('非可信CA！');

3. 网络请求超时设置

防止因目标服务器无响应导致脚本卡死：

tls.connect({ host: 'example.com', port: 443, timeout: 5000 });

六、工具箱

| 场景 | 推荐方法 | 关键API |

|--|-|-|

| 快速检查远程证书 | `tls.getPeerCertificate()` | `socket.end()`及时关闭连接 |

| 解析本地文件 | `crypto.X509Certificate()` | 注意文件读写权限 |

| 高级字段提取 | `node-forge` | `forge.pki.certificateFromPem()` |

现在你可以动手写个脚本，每天定时检查你们家官网的SSL证书了。毕竟等老板从客户那里听到“这网站不安全”的时候...就晚了！

TAG:nodejs获取ssl证书内容,js获取文件信息的方法是什么,nodejs获取客户端设备信息,nodejs获取文件信息的方法,nodejs获取客户端ip地址