如何让 SSL 与 Rails、AWS Elastic Beanstalk 和 Cloudflare 一起使用

Posted 2023-02-15

【中文标题】如何让 SSL 与 Rails、AWS Elastic Beanstalk 和 Cloudflare 一起使用

【英文标题】：How to get SSL working with Rails, AWS Elastic Beanstalk and Cloudflare

【发布时间】：2018-08-28 10:59:13

【问题描述】：

我有一个托管在 Elastic Beanstalk 上的站点，该站点使用 Ruby on Rails 构建。我设置 Cloudflare 来配置 DNS 并提供 CDN。 Cloudflare 还提供 SSL。

我无法让 SSL 与我的应用程序一起使用。

通过将 Cloudflare 的 SSL 设置为“灵活”，我可以加载我的主页，但是当我尝试登录时，我收到了这些错误（为简洁起见进行了编辑）：

INFO -- :  Started POST "/users/sign_in" for xxx.xxx.146.132 at 2018-03-19 16:45:24 +0000
INFO -- :  Processing by Users::SessionsController#create as html
INFO -- :    Parameters: "utf8"=>"✓", "authenticity_token"=>"f92CTIe5qlp7C624DZzZM2oWdFMcq6PhyfOJI16saV32yugMmJlenL/F3gTeBBsAjaAw92P1vncWBzI+JnK8wA==", "user"=>"email"=>"test@test.com", "password"=>"[FILTERED]", "commit"=>"Log in"
WARN -- :  HTTP Origin header (https://[MY_URL].com) didn't match request.base_url (http://[MY_URL].com)
INFO -- :  Completed 401 Unauthorized in 1ms (ActiveRecord: 0.0ms)  
FATAL -- :  ActionController::InvalidAuthenticityToken (ActionController::InvalidAuthenticityToken):

如果我将 Cloudflare 的 SSL 设置为“完整”，我会在 Cloudflare 生成的页面上收到 502 错误（见图）。

我遇到了这个网站 (http://til.obiefernandez.com/posts/875a2a69af-cloudflare-flexible-ssl-mode-breaks-rails-5-csrf)，它似乎有完全相同的问题，但设置为“完整”并没有帮助我。

我尝试在 /config/environments/production.rb 中设置 config.force_ssl = true。该设置不允许对该站点进行任何访问。只显示来自 Cloudflare 的相同 502 错误页面，而我的生产或 nginx 日志中没有任何内容。

我尝试过使用自定义 nginx 配置，但没有得到任何结果。这是我最新的 nginx 配置尝试：

user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log;
pid /var/run/nginx.pid;

events 
    worker_connections 1024;


http 
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;

    sendfile            on;
    tcp_nopush          on;
    tcp_nodelay         on;
    keepalive_timeout   65;
    types_hash_max_size 2048;

    include             /etc/nginx/mime.types;
    default_type        application/octet-stream;

    include /etc/nginx/conf.d/*.conf;

    index   index.html index.htm;

    server 
        listen       80 ;
        listen       [::]:80 ;
        server_name  localhost;
        root         /usr/share/nginx/html;

        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;


        location / 
          proxy_pass        http://localhost;
          proxy_set_header  Host $host;
          proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
          proxy_set_header  X-Forwarded-Proto $scheme;
          proxy_set_header  X-Forwarded-Ssl on; # Optional
          proxy_set_header  X-Forwarded-Port $server_port;
          proxy_set_header  X-Forwarded-Host $host;
        
        error_page 404 /404.html;
            location = /40x.html 
        

        # redirect server error pages to the static page /50x.html
        #
        error_page 500 502 503 504 /50x.html;
            location = /50x.html 
        
    

有人可以帮忙吗？我确定我在这里遗漏了一些明显的东西。

【问题讨论】：

任何 cmets 都会有所帮助。我真的坚持这个。

看起来您遇到了 CORS 问题。由于您已谴责 [my-url].com 的错误日志，因此很难确定。我的猜测是，您有一些使用与 cloudflare URL 不同的 url 的 javascript。 IE。即使通过 cloudflare.com 访问该站点，您也有一些使用 elasticbeanstalk url 的 javascript

您收到了ActionController::InvalidAuthenticityToken，所以首先要调查的是：令牌在每个页面加载时都会改变还是保持不变？我的猜测是 Cloudflare 正在缓存您的登录页面，因此每次都发送相同的令牌，这显然是无效的。请检查并告诉我！

另外，在您当前的设置中设置config.force_ssl = true 是错误的。让我们解决最初的问题，然后继续在 AWS 和 Cloudflare 之间建立安全连接

您使用的是哪种 Elastic Beanstalk 环境？负载均衡的？在这种情况下，负载均衡器将终止 SSL 并通过“正常”http 与您的虚拟机对话。

【参考方案1】：

502 错误：此错误表示 Cloudfare 服务器无法读取您的 rails 服务器发送的响应，基本上当您选择 Full SSL 时，Cloudflare 预计响应是 SSL 但在这里rails 应用程序发送 Cloudflare 无法读取的 NON-SSL (HTTP) 响应。

我阅读了您分享的文章，看起来 Rails 出于安全原因不允许使用灵活的 SSL。

灵活的 SSL 在flexible SSL 中，您不需要使用 SSL 证书 (HTTPS) 保护您的 Rails 应用程序，但您的访问者仍会看到该站点启用了 HTTPS。

Flexible SSL：访问者与 Cloudflare 之间的安全连接， 但 Cloudflare 和您的 Web 服务器之间没有安全连接。你 不需要在您的网络服务器上拥有 SSL 证书，但您的 访问者仍然认为该网站启用了 HTTPS。

完整的 SSL 如article 中所述，如果启用Full SSL，则需要配置rails config.force_ssl = true 以使用自签名SSL 证书，或者您可以免费从letsencrypt 获得证书，一旦您这样做了，您需要将您的 Nginx 更改为在 HTTPS 端口 443 上运行。这应该可以修复 502 错误。

这是Using HTTPs with Ruby on Rails的教程

Full SSL：访问者与 Cloudflare 之间的安全连接，以及 Cloudflare 和您的设备之间的安全连接（但未经过身份验证） 网络服务器。您需要将服务器配置为回答 HTTPS 连接，至少带有自签名证书。

Image Source