在 mqtt 中使用 aws ca 路径证书

Question

我需要知道如何在 node.js ssl 选项中指定存在于 aws 证书管理器中的证书。我需要在 mqtt 的实现中使用该证书。

现在我已经创建了自签名证书，但是那个证书出错了

Error: self signed certificates

一旦我将选项rejectUnauthorized 设置为false，它就可以工作，但如果设置为true，它会引发错误。

mqtt.connect('mqtts://domainname.com', {
                    clientId: clientId,
                    connectTimeout: config.connectTimeout,
                    rejectUnauthorized: false,
                    key: KEY,
                    cert: CERT,
                    ca: TRUSTED_CA
          });

我需要知道的是

1. rejectUnauthorized 是删除错误的唯一方法：自签名证书吗？
2. 我们如何在上述选项中使用 aws 证书管理器证书（作为通用 capath）？

Answer 1

您不能将来自 AWS Certificate Manager (ACM) 的 SSL 证书用于您自己的服务器。您只能将托管证书用于与 ACM 集成的受支持的 AWS 托管服务。支持的服务包括 Elastic Load Balancer、CloudFront 和 API Gateway。

AWS 还有另一项服务，AWS 证书管理器私有证书颁发机构。您可以使用此服务创建和管理自己的证书。您支付月费（目前为 400.00 美元）和每份证书费用（0.75 美元）。

Answer 2

rejectUnauthorized 是删除错误的唯一方法：自签名证书吗？

如果您想消除错误，您可以让受信任的 CA 签署您的证书（您可以通过 Let's Encrypt 进行此操作）。

或者，如果您只是为了测试目的而需要删除错误，那么您可以设置“ca”参数以匹配自签名证书。这记录在https://nodejs.org/api/tls.html#tls_tls_createsecurecontext_options：

对等方的证书必须可链接到服务器信任的 CA，才能对连接进行身份验证。当使用不能链接到知名 CA 的证书时，必须将证书的 CA 明确指定为受信任的，否则连接将无法进行身份验证。如果对等方使用的证书不匹配或链接到默认 CA 之一，请使用 ca 选项提供对等方的证书可以匹配或链接到的 CA 证书。 对于自签名证书，证书是自己的 CA，必须提供。