Почему не работает Workerman для wss соединения?

Question

[Vlad]

Есть вебсокет-демон на PHP 7.0 (реализован на Workerman). Кусок кода:

$worker = new Worker('websocket://my-domain.com:8084', [
    'ssl' => [
        'local_cert'  => '/etc/letsencrypt/live/my-domain.com/cert.pem',
        'local_pk'    => '/etc/letsencrypt/live/my-domain.com/privkey.pem',
        'verify_peer' => false,
    ]
]);
$worker->transport = 'ssl';
$worker->count = 1;
$worker->onConnect = function ($connection) { ... }

При разработке на локальном сервере использую самозаверенные SSL-сертификаты и все работает как нужно: клиент уверенно подключается к демону по wss. На рабочем сервере использую сертификаты Let's Encrypt.

И вот тут начинается странное: при попытке подключения клиента Workerman выбрасывает следующую ошибку

Error: stream_socket_enable_crypto(): SSL_R_NO_SHARED_CIPHER: no suitable shared cipher could be used.  This could be because the server is missing an SSL certificate (local_cert context option)

Подскажите, в чем может быть проблема?

Comments

[Make Now]

Здравствуйте, получилось разобраться?
У меня кстати проблема ещё и в том, что при запуске workerman:

stream_socket_server(): unable to connect to tcp://192.168.1.9:433 (Permission denied) in file /var/www/sht-server.icu/socket-test/vendor/workerman/workerman/Worker.php on line 2091

// SSL context.
$context = array(
  'ssl' => array(
    'local_cert'  => '/etc/letsencrypt/live/socket-test.sht-server.icu/fullchain.pem',
    'local_pk'    => '/etc/letsencrypt/live/socket-test.sht-server.icu/privkey.pem',
    'verify_peer' => false,
  )
);


// Create a Websocket server
$ws_worker = new Worker("websocket://192.168.1.9:433", $context);//3587
$ws_worker->transport = 'ssl';

[Vlad]

Make Now, не получилось. В итоге использовал вместе с nginx, чтобы работало.

[Make Now]

Vlad, Кстати у меня получилось. ответ ниже

Answer 1

[Make Now]

В общем мучался-мучался, что я только не пробовал : )) В итоге всё оказалось очень просто: проблема в том, что сертификаты находятся "чертиде" /etc/letsencrypt/live/ и доступа к ним по сути у workerman нет, решение сделать линки на сертификаты и положить эти линки рядом со скриптом запуска.

пример:
sudo cp -l /etc/letsencrypt/live/my-domain.com/fullchain.pem /var/www/вашсайт/fullchain.pem

sudo cp -l /etc/letsencrypt/live/my-domain.com/privkey.pem /var/www/вашсайт/privkey.pem

и затем подключить

$context = array(
  'ssl' => array(
    'local_cert'  => __DIR__.'/fullchain.pem',
    'local_pk'    => __DIR__.'/privkey.pem',
    'verify_peer' => false,
  )
);

// Create a Websocket server
$ws_worker = new Worker("websocket://0.0.0.0:8084", $context);//0.0.0.0 - значит принимать соединения от любого ip
$ws_worker->transport = 'ssl';

и будет счастье :)

Comments

[YourQuestion]

подскажите, local_cert это сертификат (.crt) или цепочка сертификатов (.crtca) в формате pem ?

[YourQuestion]

решил проблему так Как настроить Workerman для wss соединения?

Answer 2

[ivankomolin]

Черным по белому написано, что эта ошибка возможно из-за того что он не может найти на диске сертификат из свойства local_cert

Проверьте правильность путей до сертификатов

Если все указано верно, то посмотрите в сторону crypto_type.
Может быть выбран тот, которого не имеется на сервере.

Comments

[Vlad]

ivankomolin Путь к сертификатам указан верно.

Параметр crypto_type в Workerman равен STREAM_CRYPTO_METHOD_SSLv2_SERVER | STREAM_CRYPTO_METHOD_SSLv23_SERVER. Возможно дело в этом, однако я не так хорошо разбираюсь в SSL и иже с ним, поэтому не совсем понимаю, как это проверить?