使用Node.js的HTTPS——错误：06065064数字信封程序EVP_DecryptFinal_ex解密失败。

在使用OpenSSL（即nodejs模块tls和https实际使用的内容）的SSL/TLS连接中，当私钥受到加密（使用密码短语）并且未提供正确的密码短语进行解密时，会发生指定错误06065064：digital envelope routines：EVP_Decryptfinal_ex：bad decrypt。所描述的文件格式以-----BEGIN RSA PRIVATE KEY-----开头，后跟Proc-Type：和DEK-Info：行，这确实是OpenSSL使用的加密格式之一。具体来说，这是加密的“传统”或“遗留”格式； PKSC8格式于2000年左右添加，但仍被认为是新的！使用-----BEGIN ENCRYPTED PRIVATE KEY-----而没有822样式的标头，只有base64（由PKCS8定义的加密结构）；请参见关于OpenSSH使用OpenSSL的详细信息，网址为：https://security.stackexchange.com/questions/39279/stronger-encryption-for-ssh-keys/#52564，这与nodejs的使用基本相同。 tls模块和其他建立在其之上的模块包括https，最终使用tls.createSecureContext读取密钥和证书，其中options接受一个成员passphrase，或者如果需要使用多个密钥（和证书），则可以按照链接的文档为每个密钥提供密码短语。
另外，如果符合适用的安全策略和法规，则可以通过将密钥转换为未加密文件来避免需要密码短语。（良好的策略可能会禁止此操作，但通常也会禁止从任何其他系统获取私钥或向其提供私钥，特别是在线的系统，并且您的客户正在执行后者。）要保留传统格式，请执行以下操作：

openssl rsa -in oldfile -out newfile 
# and give the passphrase when prompted, or see the man page about -passin

或者您可以使用'新的' PKCS8 格式

openssl pkey -in oldfile -out newfile
# technically only in release 1.0.0 up, but pretty much everyone is there now
#
# or in all versions back to about 2000
openssl pkcs8 -topk8 -nocrypt -in oldfile -out newfile

在我将一些旧代码从一个工作中的系统拉到一个新的系统时，出现了这个错误。 我使用的 node 版本太新了，我将它从 17 降级到 16，问题就解决了。

我遇到了同样的问题，我想说接受的答案是好的，除了它没有提供一个使用口令短语的示例。

这是在我的情况下适用的代码，用于 express.js

const server = https
  .createServer(
    {
      key: fs.readFileSync("./root/ca/cakey.pem"),
      cert: fs.readFileSync("./root/ca/cacert.pem"),
      passphrase: "abcdefg",
    },
    app
  )
  .listen(PORT, () => {
    console.log(`Secure server listening on port:${PORT}`);
  });

尝试检查与TLS、握手和版本相关的GitHub问题，但未找到任何问题。最终修复建议来自@Greggory Wiley。安装了nvm-降级了node和npm版本。重新编译代码。然后它就可以工作了。

在我的情况下，我正在使用OpenSSL将证书从Windows导出到Docker内的Linux，并遇到了这个错误。 问题出在OpenSLL的版本上，当我将.pfx文件转换为.crt和.key时，我在Windows上使用的是3.0.x版本，在Linux上安装的是1.1.1版本。在Windows上使用相同版本的OpenSLL后，它就可以工作了。