使用最新版本的Crossbar(0.13,从Ubuntu 14.04上的apt-get安装)我在使用SSL和中间证书建立连接时遇到问题。
如果我在tls键中设置没有ca_certificates属性的服务器,那么服务器运行良好,可以通过wss协议使用谷歌浏览器建立连接。但是,尝试使用高速公路建立连接失败,并显示以下错误:
无法连接:无法完成 SSL/TLS 握手:stream_socket_enable_crypto(): SSL 操作失败,代码为 1。OpenSSL 错误消息: 错误:14094410:SSL 例程:ssl3_read_bytes:sslv3 警报握手失败
与 Thruway 团队交谈后,这似乎是一个证书问题 - 在我们的实时站点上,我们使用来自 Gandi 的中间和交叉签名证书,这是某些浏览器所必需的,因此某些 open-ssl 实现也需要该证书。
似乎虽然浏览器很乐意只用密钥和证书建立TLS连接,但高速公路需要一个链。但是,以下使用 Gandi 提供的两个证书的配置不适用于 Chrome 或高速公路。Chrome 显示错误:
失败:WebSocket 打开握手被取消
使用下面的.crossbar/config.json文件时。那么,这是我的配置、证书还是 Open-SSL 堆栈的其他部分的问题?
(下面的文件已被更改以删除任何潜在的敏感信息,因此可能由于其他原因而看起来不起作用。如果连接工作正常,则底层身份验证和其他组件工作正常,因此请保留有关TLS实现的答案/评论。注释不是有效的 JSON,但包含在内,以便读者可以看到正在使用的证书文件)
{
"version": 2,
"controller": {},
"workers": [
{
"type": "router",
"realms": [
{
"name": "test",
"roles": [
{
"name": "web",
"authorizer": "test.utils.permissions",
"disclose": {
"caller": true,
"publisher": true
}
},
{
"name": "no",
"permissions": []
}
]
}
],
"transports": [
{
"type": "websocket",
"endpoint": {
"type": "tcp",
"port": 9001,
"interface": "127.0.0.1"
},
"auth": {
"wampcra": {
"type": "static",
"users": {
"authenticator": {
"secret": "authenticator-REDACTED",
"role": "authenticator"
}
}
}
}
},
{
"type": "web",
"endpoint": {
"type": "tcp",
"port": 8089,
"tls": {
"key": "../ssl/key.pem",
"certificate": "../ssl/cert.pem",
"ca_certificates": [
"../ssl/gandi.pem", // https://www.gandi.net/static/CAs/GandiProSSLCA2.pem
"../ssl/gandi-cross-signed.pem" // https://wiki.gandi.net/en/ssl/intermediate#comodo_cross-signed_certificate
],
"dhparam": "../ssl/dhparam.pem"
}
},
"paths": {
"/": {
"type": "static",
"directory": "../web"
},
"ws": {
"type": "websocket",
"url": "wss://OUR-DOMAIN.com:8089/ws",
"auth": {
"wampcra": {
"type": "dynamic",
"authenticator": "test.utils.authenticate"
}
}
}
}
}
]
},
{
"type": "guest",
"executable": "/usr/bin/env",
"arguments": [
"php",
"../test.php",
"ws://127.0.0.1:9001",
"test",
"authenticator",
"authenticator-REDACTED"
]
}
]
}
还有其他问题涉及与this@类似的问题
- 这涉及这样一个事实,即任何 TLS 错误都会终止 WSS 连接,而没有有用的错误。
- 这个专门处理握手取消,但在他们的情况下,它是一个在编译中使用的配置不正确的库,这在这种情况下无关紧要,因为 Crossbar 是从
apt-get
这不是横杆的问题。这似乎是WAMP客户端的问题 - 高速公路。 Davidwdan是Thruway Github存储库的所有者,他说:
"高速公路的Ratchet运输提供商不直接支持SSL。你需要在它前面放一些代理。
你可以在这里找到更多关于Davidwdan和其他人对此的看法的信息,https://github.com/voryx/Thruway/issues/163。
现在进入解决方案。请注意,以下内容仅适用于Apache用户。如果你在Nginx上运行,这个想法几乎是一样的。
在我们开始之前需要注意的几件事。
- 按照交叉栏的教程进行安装!不要试图自己做!设置横杆还有更多,然后满足眼睛。Crossbar的优秀人员已经为您制定了详细的说明!https://crossbar.io/docs/Installation/。
- 对于此示例,我在同一台计算机上运行 Crossbar 和 Apache。虽然这不是要求,也没关系!
您要做的第一件事是创建一个新的虚拟主机。我为此虚拟主机选择了端口 4043,但您可以选择所需的任何端口。此虚拟主机将适用于每个通过 wss://(使用 SSL)连接没有问题的 WAMP 库。以下是WAMP客户端的完整列表:http://wamp-proto.org/implementations/。确保 ProxyPass 指令和 ProxyPassReverse 指令的 IP 地址指向 CROSSBAR 路由器所在的计算机。就我而言,由于 Apache 和 Crossbar 在同一台机器上运行,我只使用 127.0.0.1。还要确保 ProxyPass 指令和 ProxyPassReverse 指令中使用的端口与您在 .crossbar/config.json 中定义的端口完全相同!您还需要在此虚拟主机上设置SSL证书,您可以看到我在代理指令下方添加了该证书。
Listen 4043
<VirtualHost *:4043>
ServerName example.org
ProxyRequests off
SSLProxyEngine on
ProxyPass /ws/ ws://127.0.0.1:8000/
ProxyPassReverse /ws/ ws://127.0.0.1:8000/
## Custom fragment
SSLEngine on
SSLCertificateFile /path/to/server_cert.pem
SSLCertificateKeyFile /path/to/server_key.pem
SSLCertificateChainFile /path/to/server_ca.pem
</VirtualHost>
接下来,确保您的交叉路由器没有使用 SSL 设置!这非常重要。高速公路或任何其他无法通过 SSL 连接的库将无法使用路由器,如果您已将其配置为使用 SSL!下面是一个可以使用的交叉栏 config.json 文件。
{
"version": 2,
"controller": {},
"workers": [
{
"type": "router",
"realms": [
{
"name": "production_realm",
"roles": [
{
"name": "production_role",
"permissions": [
{
"uri": "",
"match": "prefix",
"allow": {
"call": true,
"register": true,
"publish": true,
"subscribe": true
}
}
]
}
]
}
],
"transports": [
{
"type": "websocket",
"endpoint": {
"type": "tcp",
"port": 8000
},
"options": {
"allowed_origins": ["http://*","https://*"]
},
"auth": {
"ticket": {
"type": "static",
"principals": {
"production_user": {
"ticket": "tSjlwueuireladgte",
"role": "production_role"
}
}
}
}
}
]
}
]
}
如何与虚拟主机中定义的端口号匹配。
./crossbar/config.json:
"endpoint": {
"type": "tcp",
"port": 8000
},
虚拟主机:
ProxyPass /ws/ ws://127.0.0.1:8000/
ProxyPassReverse /ws/ ws://127.0.0.1:8000/
此外,如果您阅读其他教程,有些人会告诉您确保在虚拟主机文件中使用 ProxyPreserveHost 指令。不要听他们的!这将产生许多意想不到的结果。启用此指令后,此选项会将 Host: 行从传入请求传递到代理主机,而不是在 ProxyPass 行中指定的主机名!甚至阿帕奇也说要远离这个指令 https://httpd.apache.org/docs/2.4/mod/mod_proxy.html#proxypreservehost。如果您确实启用了它,您将收到类似于以下内容的错误:
failing WebSocket opening handshake ('missing port in HTTP Host header
'example.org' and server runs on non-standard port 8000 (wss =
False)')
最后但并非最不重要的一点是,请确保安装并启用以下所有 Apache 库。在最近的 Apache 安装中,默认情况下会安装以下所有库,只需启用:
$ sudo a2enmod proxy
$ sudo a2enmod proxy_http
$ sudo a2enmod proxy_balancer
$ sudo a2enmod lbmethod_byrequests
$ sudo a2enmod proxy_wstunnel
确保打开虚拟主机文件正在侦听的端口以及交叉路由器正在侦听的端口。就我而言:
$ sudo ufw allow 4043
$ sudo ufw allow 8000
最后重新启动 Apache,以便您的所有更改都可以生效。
$ sudo service apache2 restart
最后但并非最不重要的一点是,我想快速解释一下为什么必须完成所有这些操作:
- 当您的服务器上设置了SSL证书时,浏览器在尝试连接到任何WAMP路由器而不使用 wss://时将引发错误。
- 通常,解决此问题的解决方案是将WAMP路由器配置为使用已在服务器上设置的SSL证书。
- 唯一的问题是高速公路.php(我知道唯一一个与WAMP一起使用的好php客户端)不能很好地与 wss://配合使用。即使是 Thruway.php 的创建者也在 GitHub 上说它不起作用。
- 此问题的解决方案是使用反向代理。
- 首先,您需要设置WAMP路由器并确保它没有使用SSL证书。
- 接下来,您需要设置反向代理,以便将请求转换为 ws://wss://。这将允许您的浏览器连接到WAMP路由器而不会抱怨。
- 由于WAMP路由器未设置为使用SSL,因此高速公路.php也可以正常工作!
嗯....这就是所有人!我知道我需要对这个问题给出详细的答案,因为我花了 5 天时间才弄清楚所有这些!
@Tay-Bae的回答已经非常有用了。但它对我不起作用,客户得到了 200 OK 的响应。我需要做的就是将 WSS 流量转发到不支持 WSS(高速公路)的内部 WS 客户端。在论坛上看了之后,我偶然发现了这个答案:https://serverfault.com/a/846936。他们添加了一个重写部分,该部分似乎是重新路由请求所必需的。我认为ProxyPassReverse应该这样做,但它没有。所以这是我的工作配置:
Listen 4043
<VirtualHost *:4043>
ServerName mydomain.net
ProxyRequests off
SSLProxyEngine on
ProxyPass /ws/ ws://127.0.0.1:8080/
ProxyPassReverse /ws/ ws://127.0.0.1:8080/
## Custom fragment
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/mydomaine.net/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/mydomain.net/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/mydomain.net/chain.pem
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTP:UPGRADE} ^WebSocket$ [NC]
RewriteCond %{HTTP:CONNECTION} Upgrade$ [NC]
RewriteRule .* ws://localhost:8080%{REQUEST_URI} [P]
</IfModule>
LogLevel debug
ErrorLog ${APACHE_LOG_DIR}/error_thruway.log
CustomLog ${APACHE_LOG_DIR}/access_thruway.log combined
</VirtualHost>