npm - @cocorograph/hub-agent - Versions diffs - 0.5.24 → 0.5.25 - Mend

@cocorograph/hub-agent 0.5.24 → 0.5.25

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (2) hide show

package/package.json +1 -1
package/scripts/install.sh +182 -0

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "@cocorograph/hub-agent",
-  "version": "0.5.24",
+  "version": "0.5.25",
   "description": "Hub Hosted Cockpit のローカル常駐 agent。Hub と outbound WSS で接続し、ローカルの tmux/pty を中継する。",
   "type": "module",
   "license": "UNLICENSED",

package/scripts/install.sh CHANGED Viewed

@@ -214,6 +214,183 @@ ensure_npm_user_prefix() {
   done
 }
+# =============================================================================
+# Node TLS 環境の自動修復
+#
+# 背景: npm install で `UNABLE_TO_GET_ISSUER_CERT_LOCALLY` が出る環境がある。
+# 原因は「node は OS の信頼ストアを使わず、自分にコンパイル時に焼き込まれた
+# CA リストだけで TLS 検証する」設計にある:
+#
+#   - curl は macOS Keychain (or /etc/ssl/certs) を使う → 通る
+#   - node はバンドル CA のみ → 通らない
+#
+# テナント環境では以下のいずれかで MITM 的な証明書差し替えが起きうる:
+#   - ウィルス対策ソフト (Sophos / Trend Micro / Norton / Symantec / Kaspersky 等)
+#   - 企業の SSL インスペクション proxy (ZScaler / Cloudflare WARP for Teams 等)
+#   - VPN クライアントによるトラフィック検査
+#   - 広告ブロッカー (NextDNS / AdGuard / 1.1.1.1 等)
+#   - 親会社配布のセキュリティアプリ
+#
+# どれもユーザー操作なしには検出しにくく、ユーザー自身も気づいていないことが多い。
+#
+# 対処: ユーザーが既に OS で信頼している CA バンドルを node にも渡せば、curl と
+# node の信頼ストアの乖離が解消する。`NODE_EXTRA_CA_CERTS` 環境変数を使えば
+# node のバンドル CA に「追加で」信頼する証明書を渡せる (バンドル CA を置き換える
+# わけではないので、通常環境への副作用はない)。
+#
+# 1. pre-flight check で node の TLS が通るかテスト
+# 2. 失敗時のみ、OS の信頼ストアを PEM に書き出して NODE_EXTRA_CA_CERTS にセット
+# 3. シェル profile (.zprofile / .bash_profile) にも追記して永続化
+# 4. 再テスト → ダメなら明確な日本語エラーガイドで終了
+# =============================================================================
+# node 側 TLS で npm registry に到達できるかテスト。成功で 0、失敗で 1。
+# stderr の最後の行を grep 用に echo するので、呼び出し側で原因種別を判定できる。
+_test_node_tls() {
+  if ! present node; then
+    return 1
+  fi
+  # node -e で出る ERR_TLS_CERT_ALTNAME_INVALID 等の他種別エラーは別途扱う必要が
+  # あるため戻り値だけで判定。stdout/stderr は呼び出し側で破棄してよい。
+  node -e "require('https').get('https://registry.npmjs.org/', r => { process.exit(r.statusCode >= 400 ? 1 : 0); }).on('error', e => { console.error(e.code || e.message); process.exit(1); });" 2>&1
+}
+# OS の信頼ストア (system / login keychain or /etc/ssl/certs) を PEM に書き出す。
+# 返り値: 成功なら 0 + ファイルパスを stdout に echo / 失敗なら 1。
+_export_os_ca_bundle() {
+  local out_pem="$HOME/.hub-agent-ca.pem"
+  case "$(uname -s)" in
+    Darwin)
+      # System.keychain には企業配布 CA や手動追加 CA、SystemRootCertificates.keychain
+      # には Apple 配布の標準 root CA が入っている。両方をマージ。
+      # `-p` で PEM 形式、`-a` で全件出力。pemcat に近い操作。
+      {
+        security find-certificate -a -p /Library/Keychains/System.keychain 2>/dev/null || true
+        security find-certificate -a -p /System/Library/Keychains/SystemRootCertificates.keychain 2>/dev/null || true
+      } > "$out_pem"
+      ;;
+    Linux)
+      # Debian/Ubuntu 系
+      if [[ -r /etc/ssl/certs/ca-certificates.crt ]]; then
+        cp /etc/ssl/certs/ca-certificates.crt "$out_pem"
+      # RHEL/CentOS/Fedora 系
+      elif [[ -r /etc/pki/tls/certs/ca-bundle.crt ]]; then
+        cp /etc/pki/tls/certs/ca-bundle.crt "$out_pem"
+      # SUSE 系
+      elif [[ -r /var/lib/ca-certificates/ca-bundle.pem ]]; then
+        cp /var/lib/ca-certificates/ca-bundle.pem "$out_pem"
+      else
+        return 1
+      fi
+      ;;
+    *)
+      return 1
+      ;;
+  esac
+  if [[ ! -s "$out_pem" ]]; then
+    rm -f "$out_pem"
+    return 1
+  fi
+  echo "$out_pem"
+}
+# シェル profile に `export NODE_EXTRA_CA_CERTS=...` を追記する。
+# 既に同じパス指定の export 行があればスキップ (idempotent)。
+_persist_node_extra_ca_certs() {
+  local ca_path="$1"
+  local snippet="export NODE_EXTRA_CA_CERTS=\"$ca_path\""
+  local marker="# >>> hub-agent: NODE_EXTRA_CA_CERTS (TLS fallback) >>>"
+  local end_marker="# <<< hub-agent: NODE_EXTRA_CA_CERTS <<<"
+  local target
+  for target in "$HOME/.zprofile" "$HOME/.bash_profile"; do
+    [[ -e "$target" ]] || touch "$target"
+    if grep -Fq "$snippet" "$target" 2>/dev/null; then
+      continue
+    fi
+    {
+      printf '\n%s\n' "$marker"
+      printf '%s\n' "$snippet"
+      printf '%s\n' "$end_marker"
+    } >> "$target"
+    color_ok "$target に NODE_EXTRA_CA_CERTS を追記"
+  done
+}
+# 「UNABLE_TO_GET_ISSUER_CERT_LOCALLY が出た時に何を確認すべきか」のガイド表示。
+# フォールバックも効かなかった最終手段ケース用。
+_print_tls_failure_guidance() {
+  # ヘッダーだけ printf で色付け。本文は cat <<EOF で複数行を読みやすく出す。
+  printf '\n\033[1;31m✗ node の TLS 検証が修復できませんでした。\033[0m\n'
+  cat <<EOF
+  curl は通るのに node だけ落ちる場合、お使いの Mac/PC に
+  HTTPS 通信を検査しているソフトが入っている可能性が高いです。
+  典型例:
+    - ウィルス対策ソフト (Sophos / Norton / Trend Micro / Symantec 等)
+    - 親会社配布のセキュリティアプリ
+    - SSL インスペクション機能つきの VPN クライアント
+    - 広告ブロッカー (NextDNS / 1.1.1.1 for Families / AdGuard 等)
+  以下のコマンドで「実際の証明書発行者」が見えます。
+  ここに表示される \`issuer\` が \`Let's Encrypt\` や \`DigiCert\` ではなく、
+  特定のソフト名 (ZScaler / Cocorograph / 製品名 等) なら、それが原因です:
+    node -e 'const t=require("tls");const s=t.connect(443,"registry.npmjs.org",{servername:"registry.npmjs.org",rejectUnauthorized:false},()=>{let c=s.getPeerCertificate(true);while(c&&Object.keys(c).length){console.log("issuer:",JSON.stringify(c.issuer));if(!c.issuerCertificate||c.issuerCertificate===c)break;c=c.issuerCertificate;}s.end();});'
+  暫定的に install を進めたい場合（自分の環境を信頼している前提）:
+    npm install -g $PACKAGE_NAME --strict-ssl=false
+    npm install -g $CLAUDE_CODE_PACKAGE --strict-ssl=false
+    hub-agent enroll <token> --hub-url <hub-url>
+    hub-agent install-service
+  詳細サポートは Hub の cockpit チャネルへ。
+EOF
+}
+# pre-flight TLS 検査 + 自動 fallback の本体。
+# main() から ensure_npm_user_prefix の直後で呼ぶ想定。
+ensure_node_tls_works() {
+  # Linux の中には node を持たない経路 (本スクリプトより前に node が入る) もあるので
+  # node が無ければスキップ (後段の ensure_global_install で別エラーになる)。
+  present node || return 0
+  color_step "node の TLS 検証を pre-flight check"
+  # ステップ 0: brew link 直後はシェル command hash に古い node/npm パスが残る
+  # ことがあるので、念のためクリアしてから検査する。
+  hash -r 2>/dev/null || true
+  if _test_node_tls >/dev/null 2>&1; then
+    color_ok "node TLS 検証 OK (registry.npmjs.org に到達可能)"
+    return 0
+  fi
+  color_warn "node TLS 検証失敗 → OS 信頼ストアから CA をエクスポートして再試行"
+  local ca_pem
+  if ! ca_pem=$(_export_os_ca_bundle); then
+    color_err "OS の信頼ストア (macOS Keychain / Linux ca-certificates) からの CA エクスポートに失敗"
+    _print_tls_failure_guidance
+    exit 1
+  fi
+  color_ok "$ca_pem に OS 信頼ストアの CA を書き出し ($(wc -l < "$ca_pem" | tr -d ' ') 行)"
+  export NODE_EXTRA_CA_CERTS="$ca_pem"
+  _persist_node_extra_ca_certs "$ca_pem"
+  # 再テスト
+  if _test_node_tls >/dev/null 2>&1; then
+    color_ok "node TLS 検証 OK (NODE_EXTRA_CA_CERTS=$ca_pem 経由)"
+    return 0
+  fi
+  color_err "OS 信頼ストアを渡しても node TLS 検証が通りません"
+  _print_tls_failure_guidance
+  exit 1
+}
 ensure_pkg() {
   local cmd="$1"
   local brew_pkg="$2"
@@ -371,6 +548,11 @@ main() {
   ensure_pkg tmux tmux tmux
   ensure_node_version
   ensure_npm_user_prefix
+  # ensure_node_version 直後だと brew link でシェルの command hash がズレている
+  # 場合があるため、prefix 設定後にまとめて TLS pre-flight check + 自動 fallback
+  # を行う。失敗時はガイダンス付きで exit するので、後段の npm install で TLS
+  # エラーを再度浴びる経路はカットされる。
+  ensure_node_tls_works
   ensure_global_install
   ensure_claude_code
   do_enroll