APIに到達するためにnode.js request.jsを使用しています。このエラーが発生しています

[エラー：UNABLE_TO_VERIFY_LEAF_SIGNATURE]

私の資格情報はすべて正確で有効であり、サーバーは問題ありません。郵便配達員にも同じ依頼をしました。

request({
    "url": domain+"/api/orders/originator/"+id,
    "method": "GET",
    "headers":{
        "X-API-VERSION": 1,
        "X-API-KEY": key
    },
}, function(err, response, body){
    console.log(err);
    console.log(response);
    console.log(body);
});

このコードは、実行可能スクリプトexで実行されています。node ./run_file.js、それはなぜですか？サーバーで実行する必要がありますか？

注：次のコードは危険であり、クライアントとサーバーの間でAPIコンテンツを傍受して変更することができます。

これもうまくいきました

process.env['NODE_TLS_REJECT_UNAUTHORIZED'] = '0';

これはアプリケーションの問題ではなく、中間CAによって署名された証明書の問題です。その事実を受け入れても続行したい場合は、以下を追加してオプションをリクエストします。

rejectUnauthorized: false

完全なリクエスト：

request({
    "rejectUnauthorized": false,
    "url": domain+"/api/orders/originator/"+id,
    "method": "GET",
    "headers":{
        "X-API-VERSION": 1,
        "X-API-KEY": key
    },
}, function(err, response, body){
    console.log(err);
    console.log(response);
    console.log(body);
});

安全なソリューション

セキュリティをオフにする代わりに、必要な証明書をチェーンに追加できます。最初にnpmからssl-root-casパッケージをインストールします。

npm install ssl-root-cas

このパッケージには、ブラウザーが信頼する多くの中間証明書が含まれていますが、ノードはそうではありません。

var sslRootCAs = require('ssl-root-cas/latest')
sslRootCAs.inject()

不足している証明書を追加します。詳細はこちらをご覧ください：

https://git.coolaj86.com/coolaj86/ssl-root-cas.js

また、次の回答をご覧ください

CoolAJ86のソリューションは正しく、rejectUnauthorizedまたはを使用してすべてのチェックを無効にするなどのセキュリティを損なうことはありませんNODE_TLS_REJECT_UNAUTHORIZED。それでも、追加のCAの証明書を明示的に挿入する必要がある場合があります。

最初に、ssl-root-casモジュールに含まれているルートCAを試しました。

require('ssl-root-cas/latest')
  .inject();

私はまだUNABLE_TO_VERIFY_LEAF_SIGNATUREエラーに終わった。次に、COMODO SSLアナライザーによって接続しているWebサイトの証明書を発行した人物を見つけ、その機関の証明書をダウンロードして、その証明書のみを追加しようとしました。

require('ssl-root-cas/latest')
  .addFile(__dirname + '/comodohigh-assurancesecureserverca.crt');

別のエラーが発生しました：CERT_UNTRUSTED。最後に、追加のルートCAを挿入し、「私の」（明らかに中間）CAを含めました。

require('ssl-root-cas/latest')
  .inject()
  .addFile(__dirname + '/comodohigh-assurancesecureserverca.crt');

以下のために作成するには、アプリに反応（このエラーがあまりにも発生し、この質問は、＃1 Googleの結果です）、あなたはおそらく使用しているHTTPS=true npm startとproxy（中package.json）の開発にいくつかのHTTPS API自己署名である自体、ときに行くました。

その場合は、次のproxyように変更することを検討してください。

"proxy": {
  "/api": {
    "target": "https://localhost:5001",
    "secure": false
  }
}

secure は、WebPackプロキシが証明書チェーンをチェックするかどうかを決定し、無効にすると、API自己署名証明書が検証されないため、データを取得できません。

非常に行うために誘惑することができるrejectUnauthorized: falseか、process.env['NODE_TLS_REJECT_UNAUTHORIZED'] = '0';それをしません！それはあなたを真ん中の攻撃の男にさらします。

他の答えは、問題が証明書が「中間CAによって署名されている」という事実にあるという点で正しいです。これには簡単な解決策があり、ssl-root-cas追加のCAをノードに挿入したり、ノードに追加したりするサードパーティのライブラリを必要としません。

ノードのほとんどのhttpsクライアントは、解決するリクエストごとにCAを指定できるオプションをサポートしていますUNABLE_TO_VERIFY_LEAF_SIGNATURE。以下は、ノードの組み込みhttpsモジュールを使用した簡単な例です。

import https from 'https';

const options = {
  host: '<your host>',
  defaultPort: 443,
  path: '<your path>',
  // assuming the bundle file is co-located with this file
  ca: readFileSync(__dirname + '/<your bundle file>.ca-bundle'),
  headers: {
    'content-type': 'application/json',
  }
};
https.get(options, res => {
  // do whatever you need to do
})

ただし、ホスティングサーバーでssl設定を構成できる場合、最適なソリューションは、中間証明書をホスティングプロバイダーに追加することです。この方法では、サーバー自体に含まれているため、クライアントリクエスターはCAを指定する必要がありません。個人的にはnamecheap + herokuを使用しています。私にとっての秘訣は、で1つの.crtファイルを作成することでしたcat yourcertificate.crt bundle.ca-bundle > server.crt。次に、このファイルを開き、最初の証明書の後に改行を追加しました。あなたはもっと読むことができます

https://www.namecheap.com/support/knowledgebase/article.aspx/10050/33/installing-an-ssl-certificate-on-heroku-ssl

誰かを助けるためにこれをここに置くだけで、私のケースは異なり、少し奇妙なミックスでした。私はこれをスーパーエージェント経由でアクセスされたリクエストで取得していました-問題は証明書（適切に設定されていた）とは何の関係もなく、非同期モジュールのウォーターフォールコールバックを通じてスーパーエージェントの結果を渡していたという事実とすべて関係がありました。修正するには：結果全体を渡すのではなくresult.body、ウォーターフォールのコールバックを渡すだけです。

同じ問題がありました。私は@ThomasReggiと@ CoolAJ86ソリューションをフォローし、うまく機能しましたが、ソリューションに満足していません。

「UNABLE_TO_VERIFY_LEAF_SIGNATURE」の問題は、認証設定レベルが原因で発生するためです。

私は@thirdenderソリューションが、あたりのその部分solution.As受け入れるnginxの公式サイトを、彼らは明らかに言及した証明書は、サーバ証明書とチェーン証明書の組み合わせでなければなりません。

次のようにstrictSSLをfalseに設定して試すこともできます。

{  
   url: "https://...",
   method: "POST",
   headers: {
        "Content-Type": "application/json"},
   strictSSL: false
}

GoDaddy証明書をサブドメインにインストールした後、Apache設定に問題がありました。私は当初、ノードがサーバー名インジケーター（SNI）を送信しないことが問題であると考えていましたが、そうではありませんでした。https://www.ssllabs.com/ssltest/を使用してサブドメインのSSL証明書を分析すると、エラーチェーンの問題：不完全が返されました。

Apacheディレクティブgd_bundle-g2-g1.crtを介してGoDaddyが提供するファイルを追加した後SSLCertificateChainFile、NodeはHTTPS経由で接続でき、エラーは解消しました。

サーバーに中間証明書を含める必要があります。これにより、[エラー：UNABLE_TO_VERIFY_LEAF_SIGNATURE]が解決されます

これを安全に解決する別の方法は、次のモジュールを使用することです。

node_extra_ca_certs_mozilla_bundle

このモジュールは、Mozillaが信頼するすべてのルート証明書と中間証明書を含むPEMファイルを生成することにより、コードを変更することなく機能します。次の環境変数を使用できます（Nodejs v7.3以降で動作します）。

NODE_EXTRA_CA_CERTS

上記の環境変数で使用するPEMファイルを生成します。以下を使用してモジュールをインストールできます。

npm install --save node_extra_ca_certs_mozilla_bundle

次に、環境変数を使用してノードスクリプトを起動します。

NODE_EXTRA_CA_CERTS=node_modules/node_extra_ca_certs_mozilla_bundle/ca_bundle/ca_intermediate_root_bundle.pem node your_script.js

生成されたPEMファイルを使用する他の方法は、次の場所にあります。

https://github.com/arvind-agarwal/node_extra_ca_certs_mozilla_bundle

注：私は上記のモジュールの作成者です。

あなたはノードのpostgresを使用しているので、あなたがこのスレッドに来る場合は/ PGモジュールは、設定よりもよりよい解決策があるNODE_TLS_REJECT_UNAUTHORIZEDか、rejectUnauthorized安全でない接続につながります。

代わりに、tls.connectのパラメーターに一致するように「ssl」オプションを構成します。

{
  ca: fs.readFileSync('/path/to/server-ca.pem').toString(),
  cert: fs.readFileSync('/path/to/client-cert.pem').toString(),
  key: fs.readFileSync('/path/to/client-key.pem').toString(),
  servername: 'my-server-name' // e.g. my-project-id/my-sql-instance-id for Google SQL
}

私は次のように環境変数からこれらのオプションの構文解析を支援するために、モジュールを書いたPGSSLROOTCERT、PGSSLCERTとPGSSLKEY：

https://github.com/programmarchy/pg-ssl

次のコマンドは私のために働きました：

> npm config set strict-ssl false
> npm cache clean --force

問題は、不正または信頼できないSSL [Secure Sockets Layer]証明書を使用して、リポジトリからモジュールをインストールしようとしていることです。キャッシュを消去すると、この問題は解決されます。後でそれをtrueにする必要がある場合があります。