vk-ssl-auto-deploy 0.0.1 → 0.0.3

package/README.md

@@ -1,9 +1,43 @@
 ### 1. NPM 全局安装（推荐）
 
+安装node环境
+
+```bash
+curl -fsSL https://rpm.nodesource.com/setup_18.x | sudo bash -
+sudo yum install -y nodejs
+```
+
+验证npm
+
+```bash
+node -v
+npm -v
+```
+
+安装pm2
+
 ```bash
-npm install -g vk-ssl-auto-deploy
+npm install -g pm2
 ```
 
+安装自动部署工具
+
+```bash
+npm install -g vk-ssl-auto-deploy@latest
+```
+
+查看安装目录
+
+```bash
+npm root -g
+```
+
+在返回的结果中拼接 `/vk-ssl-auto-deploy`
+
+如 `/usr/lib/node_modules/vk-ssl-auto-deploy`
+
+### 2. 启动
+
 安装后可以直接使用命令启动：
 
 ```bash
@@ -12,11 +46,15 @@ vk-ssl
 
 # 或使用 PM2 管理（需要先安装 PM2）
 npm install -g pm2
-cd <安装目录>
+cd <安装目录>，如 cd /usr/lib/node_modules/vk-ssl-auto-deploy
 npm run start
 ```
 
-### 2. 本地开发安装
+```js
+cd /usr/lib/node_modules/vk-ssl-auto-deploy/cert
+```
+
+### 3. 本地开发安装
 
 ```bash
 # 克隆项目
@@ -30,7 +68,7 @@ npm install
 npm dev
 ```
 
-### 3. PM2 进程管理（生产环境推荐）
+### 4. PM2 进程管理（生产环境推荐）
 
 ```bash
 # 启动服务
@@ -52,7 +90,7 @@ npm run delete
 npm run list
 ```
 
-### 4. 证书自动部署API
+### 5. 证书自动部署API
 
 #### 接口说明
 
@@ -137,7 +175,7 @@ fetch('http://localhost:3000/api/deploy-cert', {
 .then(data => console.log(data));
 ```
 
-### 5. 配置说明
+### 6. 配置说明
 
 编辑 `config.json` 文件可以修改服务端口和路由前缀：
 
@@ -153,11 +191,11 @@ fetch('http://localhost:3000/api/deploy-cert', {
 - `routerName`: API 路由前缀（默认 "api"，即访问路径为 `/api/...`）
 - `ipWhitelist`: IP白名单，默认为空，表示不限制IP，如果需要限制IP，可以填写IP地址，多个IP地址用逗号分隔
 
-### 6. License
+### 7. License
 
 MIT
 
-### 7. 发布到 NPM（维护者使用）
+### 8. 发布到 NPM（维护者使用）
 
 #### 发布前准备
 

package/app.js

@@ -8,7 +8,7 @@ const indexRouter = require('./routes/index');
 const testRouter = require('./routes/test');
 const certRouter = require('./routes/cert');
 
-const config = require('./config');
+const config = require('./config.json');
 
 
 const app = express();

package/config.json

@@ -1,8 +1,8 @@
 {
 	"port": 6001,
 	"routerName": "api",
-	"ipWhitelist": [],
-	"callbackCommand": [
-		"sudo nginx -t && sudo systemctl reload nginx"
+	"ipWhitelist": [],
+	"callbackCommand": [
+		"sudo nginx -t && sudo service nginx reload"
 	]
 }

package/package.json

@@ -1,6 +1,6 @@
 {
 	"name": "vk-ssl-auto-deploy",
-	"version": "0.0.1",
+	"version": "0.0.3",
 	"description": "SSL证书自动部署工具 - 提供HTTP API接口，支持证书文件自动上传和部署",
 	"main": "app.js",
 	"bin": {
@@ -37,6 +37,7 @@
 	"files": [
 		"bin/",
 		"routes/",
+		"utils/",
 		"views/",
 		"public/",
 		"app.js",

package/public/stylesheets/style.css

@@ -1,8 +1,8 @@
-body {
-  padding: 50px;
-  font: 14px "Lucida Grande", Helvetica, Arial, sans-serif;
-}
-
-a {
-  color: #00B7FF;
-}
+body {
+  padding: 50px;
+  font: 14px "Lucida Grande", Helvetica, Arial, sans-serif;
+}
+
+a {
+  color: #00B7FF;
+}

package/utils/certValidator.js

@@ -0,0 +1,394 @@
+/**
+ * 证书文件验证工具模块
+ * 提供证书文件的安全验证功能，包括扩展名和文件内容的验证
+ */
+
+const path = require('path');
+
+// 允许的证书文件扩展名白名单
+const ALLOWED_EXTENSIONS = ['.pem', '.crt', '.key', '.der', '.jks', '.p7b', '.pfx', '.txt'];
+
+// 单个证书文件的最大大小限制（1MB）
+const MAX_FILE_SIZE = 1 * 1024 * 1024;
+
+/**
+ * 检查文件扩展名是否在白名单中
+ * @param {string} filename - 文件名
+ * @returns {boolean} 是否允许
+ */
+function isAllowedExtension(filename) {
+	const ext = path.extname(filename).toLowerCase();
+	return ALLOWED_EXTENSIONS.includes(ext);
+}
+
+/**
+ * 验证PEM格式文件内容
+ * PEM文件是Base64编码的文本格式，必须包含BEGIN和END标记
+ * @param {Buffer} buffer - 文件内容Buffer
+ * @returns {boolean} 是否为有效的PEM格式
+ */
+function validatePEM(buffer) {
+	try {
+		const content = buffer.toString('utf8');
+		
+		// 检查是否包含PEM格式的标记
+		const pemPattern = /-----BEGIN [A-Z0-9 ]+-----[\s\S]+-----END [A-Z0-9 ]+-----/;
+		if (!pemPattern.test(content)) {
+			return false;
+		}
+
+		// 检查常见的PEM类型标识符
+		const validPEMTypes = [
+			'CERTIFICATE',
+			'PRIVATE KEY',
+			'RSA PRIVATE KEY',
+			'EC PRIVATE KEY',
+			'DSA PRIVATE KEY',
+			'ENCRYPTED PRIVATE KEY',
+			'CERTIFICATE REQUEST',
+			'X509 CRL',
+			'PUBLIC KEY',
+			'RSA PUBLIC KEY',
+			'DH PARAMETERS',
+			'EC PARAMETERS'
+		];
+
+		const hasValidType = validPEMTypes.some(type => 
+			content.includes(`-----BEGIN ${type}-----`) && 
+			content.includes(`-----END ${type}-----`)
+		);
+
+		if (!hasValidType) {
+			return false;
+		}
+
+		// 提取并验证Base64内容的基本格式
+		const base64Content = content
+			.replace(/-----BEGIN [A-Z0-9 ]+-----/g, '')
+			.replace(/-----END [A-Z0-9 ]+-----/g, '')
+			.replace(/\s/g, '');
+
+		// Base64字符集验证
+		const base64Pattern = /^[A-Za-z0-9+/=]+$/;
+		return base64Pattern.test(base64Content);
+
+	} catch (error) {
+		return false;
+	}
+}
+
+/**
+ * 验证DER格式文件内容
+ * DER是二进制格式，遵循ASN.1编码规则
+ * @param {Buffer} buffer - 文件内容Buffer
+ * @returns {boolean} 是否为有效的DER格式
+ */
+function validateDER(buffer) {
+	try {
+		if (buffer.length < 4) {
+			return false;
+		}
+
+		// DER格式的ASN.1结构通常以30开头（SEQUENCE标记）
+		// 常见的证书和私钥DER文件开头：30 82, 30 83, 30 84等
+		const firstByte = buffer[0];
+		
+		// 检查是否以SEQUENCE标签开始（0x30）
+		if (firstByte !== 0x30) {
+			return false;
+		}
+
+		// 检查长度编码的合法性
+		const secondByte = buffer[1];
+		
+		// 如果第二个字节最高位为1，表示长格式长度编码
+		if (secondByte & 0x80) {
+			const lengthOfLength = secondByte & 0x7F;
+			// 长度字节数应该在合理范围内（通常1-4字节）
+			if (lengthOfLength < 1 || lengthOfLength > 4 || buffer.length < 2 + lengthOfLength) {
+				return false;
+			}
+		}
+
+		return true;
+
+	} catch (error) {
+		return false;
+	}
+}
+
+/**
+ * 验证JKS (Java KeyStore) 格式文件内容
+ * JKS文件有固定的魔数：FE ED FE ED (标准JKS) 或 CE CE CE CE (JCEKS)
+ * @param {Buffer} buffer - 文件内容Buffer
+ * @returns {boolean} 是否为有效的JKS格式
+ */
+function validateJKS(buffer) {
+	try {
+		// JKS 文件最小长度检查（通常至少几百字节）
+		if (buffer.length < 32) {
+			return false;
+		}
+
+		// 检查标准 JKS 魔数：0xFEEDFEED
+		const isStandardJKS = buffer[0] === 0xFE && 
+		                      buffer[1] === 0xED && 
+		                      buffer[2] === 0xFE && 
+		                      buffer[3] === 0xED;
+
+		// 检查 JCEKS (Java Cryptography Extension KeyStore) 魔数：0xCECECECE
+		const isJCEKS = buffer[0] === 0xCE && 
+		                buffer[1] === 0xCE && 
+		                buffer[2] === 0xCE && 
+		                buffer[3] === 0xCE;
+
+		// 检查是否为 PKCS12 格式（某些 .jks 文件实际上是 PKCS12）
+		const isPKCS12 = buffer[0] === 0x30 && 
+		                 (buffer[1] === 0x82 || buffer[1] === 0x80 || 
+		                  buffer[1] === 0x83 || buffer[1] === 0x84);
+
+		return isStandardJKS || isJCEKS || isPKCS12;
+
+	} catch (error) {
+		return false;
+	}
+}
+
+/**
+ * 验证PKCS#7 (.p7b) 格式文件内容
+ * PKCS#7可以是DER或PEM格式，格式变体众多，采用宽松验证策略
+ * @param {Buffer} buffer - 文件内容Buffer
+ * @returns {boolean} 是否为有效的PKCS#7格式
+ */
+function validateP7B(buffer) {
+	try {
+		// 最小文件大小检查
+		if (buffer.length < 10) {
+			return false;
+		}
+
+		// 1. 尝试检测 PEM 格式（文本格式）
+		try {
+			const content = buffer.toString('utf8');
+			
+			// 检查 PEM 标记（各种变体）
+			if (content.includes('-----BEGIN') || content.includes('-----END')) {
+				// 有 PEM 标记就认为是文本格式的 P7B
+				return true;
+			}
+		} catch (encodeError) {
+			// 转字符串失败，继续下面的二进制检查
+		}
+
+		// 2. 排除明显不是证书的文件类型
+		// 检查是否为常见图片格式的魔数
+		const firstByte = buffer[0];
+		const secondByte = buffer[1];
+		
+		// JPEG: FF D8 FF
+		if (firstByte === 0xFF && secondByte === 0xD8 && buffer[2] === 0xFF) {
+			return false;
+		}
+		
+		// PNG: 89 50 4E 47
+		if (firstByte === 0x89 && secondByte === 0x50 && buffer[2] === 0x4E && buffer[3] === 0x47) {
+			return false;
+		}
+		
+		// GIF: 47 49 46 38
+		if (firstByte === 0x47 && secondByte === 0x49 && buffer[2] === 0x46 && buffer[3] === 0x38) {
+			return false;
+		}
+		
+		// BMP: 42 4D
+		if (firstByte === 0x42 && secondByte === 0x4D) {
+			return false;
+		}
+
+		// PDF: 25 50 44 46
+		if (firstByte === 0x25 && secondByte === 0x50 && buffer[2] === 0x44 && buffer[3] === 0x46) {
+			return false;
+		}
+
+		// ZIP: 50 4B
+		if (firstByte === 0x50 && secondByte === 0x4B) {
+			return false;
+		}
+
+		// 3. PKCS#7 格式变体很多，只要不是明显的非证书文件，就认为可能是有效的 P7B
+		// 这是一个宽松但实用的策略
+		return true;
+
+	} catch (error) {
+		return false;
+	}
+}
+
+/**
+ * 验证PKCS#12 (.pfx) 格式文件内容
+ * PFX文件是二进制格式，通常以30 82或30 80开头
+ * @param {Buffer} buffer - 文件内容Buffer
+ * @returns {boolean} 是否为有效的PKCS#12格式
+ */
+function validatePFX(buffer) {
+	try {
+		if (buffer.length < 4) {
+			return false;
+		}
+
+		// PKCS#12文件通常以ASN.1 SEQUENCE开头
+		// 魔数：30 82 或 30 80 或 30 83 等
+		return buffer[0] === 0x30 && 
+		       (buffer[1] === 0x82 || buffer[1] === 0x80 || buffer[1] === 0x83 || buffer[1] === 0x84);
+
+	} catch (error) {
+		return false;
+	}
+}
+
+/**
+ * 验证TXT格式文件（通常是说明文件）
+ * @param {Buffer} buffer - 文件内容Buffer
+ * @returns {boolean} 是否为有效的TXT文件
+ */
+function validateTXT(buffer) {
+	try {
+		// TXT 文件最小大小检查
+		if (buffer.length === 0) {
+			return false;
+		}
+
+		// 尝试转换为 UTF-8 文本
+		const content = buffer.toString('utf8');
+		
+		// 检查是否包含大量不可打印字符（可能是二进制文件伪装）
+		// 允许的字符：可打印ASCII字符、中文、换行符等
+		let invalidCharCount = 0;
+		for (let i = 0; i < Math.min(content.length, 1000); i++) {
+			const code = content.charCodeAt(i);
+			// 允许：换行、制表符、可打印ASCII、中文等Unicode字符
+			if (code < 32 && code !== 10 && code !== 13 && code !== 9) {
+				invalidCharCount++;
+			}
+		}
+		
+		// 如果不可打印字符超过10%，认为是二进制文件
+		const sampleSize = Math.min(content.length, 1000);
+		return (invalidCharCount / sampleSize) < 0.1;
+
+	} catch (error) {
+		return false;
+	}
+}
+
+/**
+ * 验证证书文件的内容合法性
+ * 根据文件扩展名调用相应的验证函数
+ * @param {string} filename - 文件名
+ * @param {Buffer} buffer - 文件内容Buffer
+ * @returns {boolean} 文件内容是否合法
+ */
+function validateFileContent(filename, buffer) {
+	const ext = path.extname(filename).toLowerCase();
+
+	switch (ext) {
+		case '.pem':
+		case '.crt':
+		case '.key':
+			return validatePEM(buffer);
+		
+		case '.der':
+			return validateDER(buffer);
+		
+		case '.jks':
+			return validateJKS(buffer);
+		
+		case '.p7b':
+			return validateP7B(buffer);
+		
+		case '.pfx':
+			return validatePFX(buffer);
+		
+		case '.txt':
+			return validateTXT(buffer);
+		
+		default:
+			return false;
+	}
+}
+
+/**
+ * 验证文件大小是否在允许范围内
+ * @param {Buffer} buffer - 文件内容Buffer
+ * @returns {boolean} 文件大小是否合法
+ */
+function validateFileSize(buffer) {
+	return buffer.length > 0 && buffer.length <= MAX_FILE_SIZE;
+}
+
+/**
+ * 验证文件路径，防止路径遍历攻击（Zip Slip）
+ * @param {string} entryName - zip条目名称
+ * @returns {boolean} 路径是否安全
+ */
+function validateFilePath(entryName) {
+	// 禁止包含父目录引用
+	if (entryName.includes('..')) {
+		return false;
+	}
+
+	// 禁止绝对路径
+	if (path.isAbsolute(entryName)) {
+		return false;
+	}
+
+	// 禁止以斜杠或反斜杠开头
+	if (entryName.startsWith('/') || entryName.startsWith('\\')) {
+		return false;
+	}
+
+	return true;
+}
+
+/**
+ * 完整验证证书文件
+ * 包括：扩展名、文件大小、路径安全性、文件内容
+ * @param {string} filename - 文件名
+ * @param {Buffer} buffer - 文件内容Buffer
+ * @param {string} entryName - zip条目名称
+ * @returns {Object} 验证结果 { valid: boolean, reason: string }
+ */
+function validateCertFile(filename, buffer, entryName) {
+	// 1. 验证路径安全性
+	if (!validateFilePath(entryName)) {
+		return { valid: false, reason: '文件路径不安全，可能存在路径遍历攻击' };
+	}
+
+	// 2. 验证扩展名
+	if (!isAllowedExtension(filename)) {
+		return { valid: false, reason: '文件扩展名不在白名单中' };
+	}
+
+	// 3. 验证文件大小
+	if (!validateFileSize(buffer)) {
+		return { valid: false, reason: '文件大小不合法（空文件或超过1MB）' };
+	}
+
+	// 4. 验证文件内容
+	if (!validateFileContent(filename, buffer)) {
+		return { valid: false, reason: '文件内容格式不正确，可能是伪装的证书文件' };
+	}
+
+	return { valid: true, reason: '验证通过' };
+}
+
+module.exports = {
+	ALLOWED_EXTENSIONS,
+	MAX_FILE_SIZE,
+	validateCertFile,
+	validateFileContent,
+	validateFileSize,
+	validateFilePath,
+	isAllowedExtension
+};
+

package/utils/ipValidator.js

@@ -0,0 +1,214 @@
+/**
+ * IP白名单验证工具模块
+ * 提供IP地址和CIDR格式的白名单验证功能
+ */
+
+/**
+ * 将IP地址转换为32位整数
+ * @param {string} ip - IP地址字符串，如 "192.168.1.1"
+ * @returns {number} IP地址对应的32位整数
+ */
+function ipToInt(ip) {
+	const parts = ip.split('.').map(Number);
+	return ((parts[0] << 24) | (parts[1] << 16) | (parts[2] << 8) | parts[3]) >>> 0;
+}
+
+/**
+ * 验证IP地址格式是否合法
+ * @param {string} ip - IP地址字符串
+ * @returns {boolean} IP地址是否合法
+ */
+function isValidIP(ip) {
+	const ipPattern = /^(\d{1,3})\.(\d{1,3})\.(\d{1,3})\.(\d{1,3})$/;
+	const match = ip.match(ipPattern);
+	
+	if (!match) {
+		return false;
+	}
+
+	// 检查每个部分是否在0-255范围内
+	for (let i = 1; i <= 4; i++) {
+		const num = parseInt(match[i], 10);
+		if (num < 0 || num > 255) {
+			return false;
+		}
+	}
+
+	return true;
+}
+
+/**
+ * 验证CIDR格式是否合法
+ * @param {string} cidr - CIDR格式字符串，如 "192.168.1.0/24"
+ * @returns {boolean} CIDR格式是否合法
+ */
+function isValidCIDR(cidr) {
+	const parts = cidr.split('/');
+	
+	if (parts.length !== 2) {
+		return false;
+	}
+
+	const ip = parts[0];
+	const prefix = parseInt(parts[1], 10);
+
+	// 验证IP部分
+	if (!isValidIP(ip)) {
+		return false;
+	}
+
+	// 验证前缀长度（0-32）
+	if (isNaN(prefix) || prefix < 0 || prefix > 32) {
+		return false;
+	}
+
+	return true;
+}
+
+/**
+ * 检查IP是否在CIDR范围内
+ * @param {string} ip - 要检查的IP地址
+ * @param {string} cidr - CIDR格式，如 "192.168.1.0/24"
+ * @returns {boolean} IP是否在CIDR范围内
+ */
+function isIPInCIDR(ip, cidr) {
+	if (!isValidIP(ip) || !isValidCIDR(cidr)) {
+		return false;
+	}
+
+	const [networkIP, prefixStr] = cidr.split('/');
+	const prefix = parseInt(prefixStr, 10);
+
+	// 特殊处理：0.0.0.0/0 表示所有IP
+	if (prefix === 0) {
+		return true;
+	}
+
+	const ipInt = ipToInt(ip);
+	const networkInt = ipToInt(networkIP);
+
+	// 生成子网掩码
+	const mask = (0xFFFFFFFF << (32 - prefix)) >>> 0;
+
+	// 比较网络地址部分
+	return (ipInt & mask) === (networkInt & mask);
+}
+
+/**
+ * 检查IP是否在白名单中
+ * @param {string} ip - 要检查的IP地址
+ * @param {Array<string>} whitelist - IP白名单数组，支持单个IP或CIDR格式
+ * @returns {boolean} IP是否在白名单中
+ */
+function isIPInWhitelist(ip, whitelist) {
+	// 如果白名单为空或未定义，允许所有IP
+	if (!whitelist || !Array.isArray(whitelist) || whitelist.length === 0) {
+		return true;
+	}
+
+	// 验证要检查的IP格式
+	if (!isValidIP(ip)) {
+		return false;
+	}
+
+	// 遍历白名单
+	for (const entry of whitelist) {
+		const trimmedEntry = entry.trim();
+
+		// 检查是否为CIDR格式
+		if (trimmedEntry.includes('/')) {
+			if (isIPInCIDR(ip, trimmedEntry)) {
+				return true;
+			}
+		} else {
+			// 单个IP地址精确匹配
+			if (ip === trimmedEntry) {
+				return true;
+			}
+		}
+	}
+
+	return false;
+}
+
+/**
+ * 从Express请求对象中获取客户端真实IP地址
+ * 支持代理服务器场景（如nginx、cloudflare等）
+ * @param {Object} req - Express请求对象
+ * @returns {string} 客户端IP地址
+ */
+function getClientIP(req) {
+	// 1. 尝试从X-Forwarded-For头获取（常见于反向代理）
+	const forwardedFor = req.headers['x-forwarded-for'];
+	if (forwardedFor) {
+		// X-Forwarded-For可能包含多个IP，取第一个（客户端真实IP）
+		const ips = forwardedFor.split(',').map(ip => ip.trim());
+		if (ips.length > 0 && isValidIP(ips[0])) {
+			return ips[0];
+		}
+	}
+
+	// 2. 尝试从X-Real-IP头获取（nginx常用）
+	const realIP = req.headers['x-real-ip'];
+	if (realIP && isValidIP(realIP)) {
+		return realIP;
+	}
+
+	// 3. 尝试从CF-Connecting-IP获取（Cloudflare）
+	const cfIP = req.headers['cf-connecting-ip'];
+	if (cfIP && isValidIP(cfIP)) {
+		return cfIP;
+	}
+
+	// 4. 从socket连接获取
+	let ip = req.connection?.remoteAddress || 
+	         req.socket?.remoteAddress || 
+	         req.connection?.socket?.remoteAddress ||
+	         req.ip;
+
+	// 处理IPv6格式的IPv4地址（如 ::ffff:192.168.1.1）
+	if (ip && ip.startsWith('::ffff:')) {
+		ip = ip.substring(7);
+	}
+
+	// 处理IPv6本地地址
+	if (ip === '::1') {
+		ip = '127.0.0.1';
+	}
+
+	return ip || '0.0.0.0';
+}
+
+/**
+ * Express中间件：验证IP白名单
+ * @param {Array<string>} whitelist - IP白名单数组
+ * @returns {Function} Express中间件函数
+ */
+function ipWhitelistMiddleware(whitelist) {
+	return (req, res, next) => {
+		const clientIP = getClientIP(req);
+		
+		if (isIPInWhitelist(clientIP, whitelist)) {
+			// IP在白名单中，允许访问
+			next();
+		} else {
+			// IP不在白名单中，拒绝访问
+			console.warn(`[IP白名单拦截] IP: ${clientIP} 尝试访问但不在白名单中`);
+			res.status(403).json({
+				code: 4030,
+				msg: 'IP地址不在白名单中，访问被拒绝',
+				ip: clientIP
+			});
+		}
+	};
+}
+
+module.exports = {
+	isValidIP,
+	isValidCIDR,
+	isIPInCIDR,
+	isIPInWhitelist,
+	getClientIP,
+	ipWhitelistMiddleware
+};
+

package/views/error.ejs

@@ -1,3 +1,3 @@
-<h1><%= message %></h1>
-<h2><%= error.status %></h2>
-<pre><%= error.stack %></pre>
+<h1><%= message %></h1>
+<h2><%= error.status %></h2>
+<pre><%= error.stack %></pre>

package/views/index.ejs

@@ -1,10 +1,10 @@
-<!DOCTYPE html>
-<html>
-  <head>
-    <title><%= title %></title>
-    <link rel='stylesheet' href='/stylesheets/style.css' />
-  </head>
-  <body>
-    <h1><%= title %></h1>
-  </body>
-</html>
+<!DOCTYPE html>
+<html>
+  <head>
+    <title><%= title %></title>
+    <link rel='stylesheet' href='/stylesheets/style.css' />
+  </head>
+  <body>
+    <h1><%= title %></h1>
+  </body>
+</html>