Nginx 为 WebSocket 处理 SSL

Posted

技术标签:

【中文标题】Nginx 为 WebSocket 处理 SSL【英文标题】:Nginx to handle SSL for WebSockets 【发布时间】:2017-07-14 07:52:29 【问题描述】:

我对 nginx 很陌生,我感觉自己就像一只被困在核电站设施中的猴子——没有任何意义——我非常想得到一些香蕉。

无论如何,我使用 Nginx 服务器来处理 SSL 并将所有请求代理到 NodeJS 应用程序。除了 WebSockets,一切都很好。客户给我一个ERR_INSECURE_RESPONSE 错误。服务器是live。我错过了什么?你有什么建议?

NodeJS

const express = require('express')
const app = express()
const server = require('http').Server(app)
const io = require('socket.io')(server)

app.use(express.static('../app'))

io.on('connection', (socket) => 
  console.log('CONNECTED')
)

server.listen(5000)

Nginx 配置(取自本教程Deploying a NodeJS app with ssl)

# HTTP — redirect all traffic to HTTPS
server 
    listen 80;
    listen [::]:80 default_server ipv6only=on;
    return 301 https://$host$request_uri;

# HTTPS — proxy all requests to the Node app
server 
    # Enable HTTP/2
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name olmeo.us;

    # Use the Let’s Encrypt certificates
    ssl_certificate /etc/letsencrypt/live/olmeo.us/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/olmeo.us/privkey.pem;

    # Include the SSL configuration from cipherli.st
    include snippets/ssl-params.conf;

    location / 
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-NginX-Proxy true;
        proxy_pass http://localhost:5000/;
        proxy_ssl_session_reuse off;
        proxy_set_header Host $http_host;
        proxy_cache_bypass $http_upgrade;
        proxy_redirect off;        
    

SSL 配置(包括 sn-ps/ssl-params.conf)

# See https://cipherli.st/ for details on this configuration
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1; # Requires nginx >= 1.1.0
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off; # Requires nginx >= 1.5.9
ssl_stapling on; # Requires nginx >= 1.3.7
ssl_stapling_verify on; # Requires nginx => 1.3.7
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;

# Add our strong Diffie-Hellman group
ssl_dhparam /etc/ssl/certs/dhparam.pem;

客户

io.connect('https://52.29.55.217')

【问题讨论】:

为什么在 URL 中使用 IP 地址而不是配置中的主机名?并且,如果使用 IP 地址确实是正确的方法 - 访问此 URL 时是否包含在证书中的 IP 地址? Steffen Ullrich,先生,我相信这正是导致问题的原因。我稍后会对其进行测试并在此处发布答案。谢谢! 【参考方案1】:

您的 SSL 证书可能是为给定域提供的,而不是为 IP 地址提供的,并且您使用的是 IP 而不是域进行连接:

io.connect('https://52.29.55.217')

除非您的证书在其涵盖的主机列表中包含该 IP 地址(极不可能),否则这将不起作用。尝试使用 Let's Encrypt 创建证书时使用的确切域名(不是子域,不是 IP,确切的域名)。

【讨论】:

以上是关于Nginx 为 WebSocket 处理 SSL的主要内容,如果未能解决你的问题,请参考以下文章

如何配置 uwsgi + nginx + Django + websocket?

将 nginx 配置为 websocket 的代理

Nginx:反向代理 WebSocket Draft 76

SSL 错误;涉及到nginx、tor​​nado、websocket

nginx支持websocket

2021-10-29 利用nginx实现https的websocket转发