Как настроить WSS для сайта, где https уже работает корректно?

Question

[coderisimo]

Попробую перефразировать ранее заданный вопрос (увы, пока на него не было ни одного ответа) Вроде , не сложная задача, пока - "ку" ))
Суть. Есть сайт с сертификатом от certbot. HTTPS работает. Значит с сертификатами все ок. Однако , когда пытаюсь прикрутить WWS получаю :
VM112 6.4e16017e.js:1 WebSocket connection to 'wss://dist.devarea.space/' failed: Error in connection establishment: net::ERR_CERT_COMMON_NAME_INVALID
В NGINX трафик проксирую на вебсокет сервер proxy_pass 127.0.0.1:8282; Конфиг ниже :

server {
listen 443 ssl;
#ssl on;
#путь скопирован из секции ниже.
ssl_certificate /etc/letsencrypt/live/www.dist.devarea.space/fullchain.pem; # managed by Certbot
#путь скопирован из секции ниже.
  ssl_certificate_key /etc/letsencrypt/live/www.dist.devarea.space/privkey.pem; # managed by Certbot

  ssl_session_timeout 5m;
  ssl_session_cache shared:SSL:50m;
  ssl_protocols SSLv3 SSLv2 TLSv1 TLSv1.1 TLSv1.2;
  ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;

  location /
  {
    # Websocket port 8282
    proxy_pass http://127.0.0.1:8282;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "Upgrade";
    proxy_set_header X-Real-IP $remote_addr;
  }
}

# все что ниже - было раньше 
server {
    charset utf-8;
    client_max_body_size 128M; ## listen for ipv4
    server_name  www.dist.devarea.space  dist.devarea.space;
    root        /var/www/html/dist/web;
    index       index.php;
    location / {
        # Redirect everything that isn't a real file to index.php
        try_files $uri $uri/ /index.php$is_args$args;
    }
 # blah-blah-blah....
    location ~* /\. {
        deny all;
    }

 listen 443 ssl; # managed by Certbot
 ssl_certificate /etc/letsencrypt/live/www.dist.dist.space/fullchain.pem; # managed by Certbot
 ssl_certificate_key /etc/letsencrypt/live/www.dist.devarea.space/privkey.pem; # managed by Certbot
 include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
 ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

Возможно, кому-то приходилось сталкиваться с похожими траблами ?
Спасибо.

Comments

[Andrey Shatokhin]

а вы в workerman, что-то делали для wss? там он на ws слушает?

[coderisimo]

Andrey Shatokhin,

да, в нем сертификаты прописал (причем сертификаты скопировал в каталог со скриптом, читал , что бывают проблемы с доступом к /etc/letsencrypt/live/ ) , ssl включил. За все труды получаю

Сейчас в консоли :
SSL handshake error: stream_socket_enable_crypto(): SSL operation failed with code 1. OpenSSL Error messages:
error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown

[Andrey Shatokhin]

у вас конфиг nginx работает с workerman без шифрования. т.е workerman должен отвечать на простой(не шифрованный) коннект. Проверьте что все про сертификаты убрали из кода.

[coderisimo]

Andrey Shatokhin, Спасибо за помощь! Вы правы, это логично. Я же проксирую на http. workerman запускаю вот так :

//$context = array(
//    'ssl' => array(
//        'local_cert' => __DIR__ . '/fullchain.pem',
//        'local_pk' => __DIR__ . '/privkey.pem',
//        'verify_peer' => false,
//    )
//);

// Create a Websocket server
$ws_worker = new Worker('websocket://0.0.0.0:8282');
//$ws_worker->transport = 'ssl';
// И так далее...без ssl настроек

Далее происходят странные вещи

если обращаюсь вот так wss://dist.devarea.space:8282/wss (что неправильно , ибо порт у меня определяется при проксировании proxy_pass http://127.0.0.1:8282;) , то в консоли сервера я вижу, что соединение создается и тут же разрывается. Т.е происходит хоть что-то ))) В браузере ошибка -
failed: Error in connection establishment: net::ERR_SSL_PROTOCOL_ERROR

если же обращаюсь вот так wss://dist.devarea.space/wss (что по идее верно), то в консоли браузера.
failed: Error during WebSocket handshake: Unexpected response code: 404
, а в консоли сервера, где запущен workerman - вообще тишина. Кажется, что прокси не работает. ((

Чегой-то вообще не понимаю, куда дальше копать (

[coderisimo]

Andrey Shatokhin, В общем, заменил в конфиге nginx location ~ ^/wss на location ~ ^/wss/ ,переустановил сертификат, перегрузил сервер, выпил кофе... и все заработало!

Спасибо за помощь!

Answer 1

[vreitech]

пардон, но у вас для секции server, которая должна заниматься веб-сокетами, не задан server_name. оно, конечно, может и не важно было бы, если бы она нигде не была задана, да вот проблема: она задана в секции server ниже. и хоть для этой секции в свою очередь и не задан listen, но он зато задан вами глобально в самом конце, вне секций, что nginx'ом вроде бы даже и не поддерживается (если не ошибаюсь), но у вас в листинге конфига тем не менее присутствует. намешано у вас, я б сказал.
вот, например, конфиг, который вполне работает у меня:

server {
        listen 80;
        listen [::]:80;

        server_name semaf.example.com;

        return 301 https://$host$request_uri;
}

server {
        listen 443 ssl;
        listen [::]:443 ssl;

        server_name semaf.example.com;

        ssl_certificate /var/lib/dehydrated/certs/semaf.example.com/fullchain.pem;
        ssl_certificate_key /var/lib/dehydrated/certs/semaf.example.com/privkey.pem;

        location /.well-known/acme-challenge {
                alias /var/www/.well-known/acme-challenge;
        }

# сюда websocket'ы
        location ~ ^/ws/ {
                proxy_pass                              http://localhost:3001;
                proxy_http_version                      1.1;
                proxy_set_header Upgrade                $http_upgrade;
                proxy_set_header Connection             "upgrade";
                proxy_read_timeout                      86400;
                proxy_set_header Host                   $host;
                proxy_set_header X-Forwarded-For        $proxy_add_x_forwarded_for;
                proxy_set_header X-Real-IP              $remote_addr;
        }

# сюда "обычный" http-трафик
        location / {
                proxy_pass                              http://localhost:3001;
                proxy_pass_header                       Server;
                proxy_set_header Host                   $host;
                proxy_set_header X-Forwarded-For        $proxy_add_x_forwarded_for;
                proxy_set_header X-Real-IP              $remote_addr;
        }
}

websocket тут вынесен в отдельный URL scope, чтобы не перехватывать обращения пользователей на корневой УРЛ. проксируются и вебсокеты, и хттп в моём случае в одно и то же приложение, но это чисто моя специфика. лишние заголовки можете удалить.
если будете править дальше свой конфиг - разберитесь с неоднозначностью по части того, в какую из server попадает ваш трафик, идущий по websocket. сдаётся мне, что сейчас - не в ту.

Comments

[coderisimo]

Спасибо за отклик! Попробовал внести коррективы к конфиг.

Сейчас он выглядит вот так

server {
    charset utf-8;
    client_max_body_size 128M; ## listen for ipv4

    listen 443 ssl; # managed by Certbot
    listen [::]:443 ssl;
    ssl_certificate /etc/letsencrypt/live/www.dist.devarea.space/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/www.dist.devarea.space/privkey.pem; # managed by Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

    server_name  www.dist.devarea.space  dist.devarea.space;
    root        /var/www/html/dist/web;
    index       index.php;


  location ~ ^/wss {
    # Websocket port 8282
    proxy_pass http://localhost:8282; # также пробовал http://127.0.0.1:8282;
    proxy_http_version 1.1;
    proxy_set_header Upgrade                $http_upgrade;
    proxy_set_header Connection             "upgrade";
    proxy_read_timeout                      86400;
    proxy_set_header Host                   $host;
    proxy_set_header X-Forwarded-For        $proxy_add_x_forwarded_for;
    proxy_set_header X-Real-IP              $remote_addr;
  }


    location / {
        # Redirect everything that isn't a real file to index.php
        try_files $uri $uri/ /index.php$is_args$args;
    }

      location ~ ^/assets/.*\.php$ {
        deny all;
    }

    location ~ \.php$ {
        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        fastcgi_pass 127.0.0.1:9000;
        try_files $uri =404;
    }
    location ~* /\. {
        deny all;
    }
}

И снова 6.2019cd89.js:1 WebSocket connection to 'wss://dist.devarea.space/wss' failed: Error in connection establishment: net::ERR_CERT_COMMON_NAME_INVALID

Сам сайт по-прежнему грузится нормально. https есть. Сертификат валидый. Есть еще идеи, что можно "покрутить" ?

[vreitech]

coderisimo, давайте на сторону js теперь взглянем.
попробуйте в вашем скрипте момент создания WS-соединения реализовать примерно так:

if (window.location.protocol === "https:") {
  socket = new WebSocket("wss://" + window.location.host + "/ws");
}
else {
  socket = new WebSocket("ws://" + window.location.host + "/ws");
}

[coderisimo]

vreitech, последняя соломинка сломала спину верблюда :)

Заменил в конфиге nginx location ~ ^/wss на location ~ ^/wss/ , убрал SSL кофиг из WORKMAN, переустановил сертификат, перегрузил сервер, выпил кофе... и все заработало!

Спасибо за помощь.

[vreitech]

чудеса. =)

[coderisimo]

vreitech, сам в шоке ))

Answer 2

[coderisimo]

Сейчас в консоли
SSL handshake error: stream_socket_enable_crypto(): SSL operation failed with code 1. OpenSSL Error messages:
error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown