coderisimo
@coderisimo
Уважайте тех ,кто вам помогает , ёклмн! )

Как настроить WSS для сайта, где https уже работает корректно?

Попробую перефразировать ранее заданный вопрос (увы, пока на него не было ни одного ответа) Вроде , не сложная задача, пока - "ку" ))
Суть. Есть сайт с сертификатом от certbot. HTTPS работает. Значит с сертификатами все ок. Однако , когда пытаюсь прикрутить WWS получаю :
VM112 6.4e16017e.js:1 WebSocket connection to 'wss://dist.devarea.space/' failed: Error in connection establishment: net::ERR_CERT_COMMON_NAME_INVALID
В NGINX трафик проксирую на вебсокет сервер proxy_pass http://127.0.0.1:8282; Конфиг ниже :
server {
listen 443 ssl;
#ssl on;
#путь скопирован из секции ниже.
ssl_certificate /etc/letsencrypt/live/www.dist.devarea.space/fullchain.pem; # managed by Certbot
#путь скопирован из секции ниже.
  ssl_certificate_key /etc/letsencrypt/live/www.dist.devarea.space/privkey.pem; # managed by Certbot

  ssl_session_timeout 5m;
  ssl_session_cache shared:SSL:50m;
  ssl_protocols SSLv3 SSLv2 TLSv1 TLSv1.1 TLSv1.2;
  ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;

  location /
  {
    # Websocket port 8282
    proxy_pass http://127.0.0.1:8282;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "Upgrade";
    proxy_set_header X-Real-IP $remote_addr;
  }
}

# все что ниже - было раньше 
server {
    charset utf-8;
    client_max_body_size 128M; ## listen for ipv4
    server_name  www.dist.devarea.space  dist.devarea.space;
    root        /var/www/html/dist/web;
    index       index.php;
    location / {
        # Redirect everything that isn't a real file to index.php
        try_files $uri $uri/ /index.php$is_args$args;
    }
 # blah-blah-blah....
    location ~* /\. {
        deny all;
    }

 listen 443 ssl; # managed by Certbot
 ssl_certificate /etc/letsencrypt/live/www.dist.dist.space/fullchain.pem; # managed by Certbot
 ssl_certificate_key /etc/letsencrypt/live/www.dist.devarea.space/privkey.pem; # managed by Certbot
 include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
 ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot


Возможно, кому-то приходилось сталкиваться с похожими траблами ?
Спасибо.
  • Вопрос задан
  • 69 просмотров
Решения вопроса 1
fzfx
@fzfx
18,5 дм
пардон, но у вас для секции server, которая должна заниматься веб-сокетами, не задан server_name. оно, конечно, может и не важно было бы, если бы она нигде не была задана, да вот проблема: она задана в секции server ниже. и хоть для этой секции в свою очередь и не задан listen, но он зато задан вами глобально в самом конце, вне секций, что nginx'ом вроде бы даже и не поддерживается (если не ошибаюсь), но у вас в листинге конфига тем не менее присутствует. намешано у вас, я б сказал.
вот, например, конфиг, который вполне работает у меня:
server {
        listen 80;
        listen [::]:80;

        server_name semaf.example.com;

        return 301 https://$host$request_uri;
}

server {
        listen 443 ssl;
        listen [::]:443 ssl;

        server_name semaf.example.com;

        ssl_certificate /var/lib/dehydrated/certs/semaf.example.com/fullchain.pem;
        ssl_certificate_key /var/lib/dehydrated/certs/semaf.example.com/privkey.pem;

        location /.well-known/acme-challenge {
                alias /var/www/.well-known/acme-challenge;
        }

# сюда websocket'ы
        location ~ ^/ws/ {
                proxy_pass                              http://localhost:3001;
                proxy_http_version                      1.1;
                proxy_set_header Upgrade                $http_upgrade;
                proxy_set_header Connection             "upgrade";
                proxy_read_timeout                      86400;
                proxy_set_header Host                   $host;
                proxy_set_header X-Forwarded-For        $proxy_add_x_forwarded_for;
                proxy_set_header X-Real-IP              $remote_addr;
        }

# сюда "обычный" http-трафик
        location / {
                proxy_pass                              http://localhost:3001;
                proxy_pass_header                       Server;
                proxy_set_header Host                   $host;
                proxy_set_header X-Forwarded-For        $proxy_add_x_forwarded_for;
                proxy_set_header X-Real-IP              $remote_addr;
        }
}


websocket тут вынесен в отдельный URL scope, чтобы не перехватывать обращения пользователей на корневой УРЛ. проксируются и вебсокеты, и хттп в моём случае в одно и то же приложение, но это чисто моя специфика. лишние заголовки можете удалить.
если будете править дальше свой конфиг - разберитесь с неоднозначностью по части того, в какую из server попадает ваш трафик, идущий по websocket. сдаётся мне, что сейчас - не в ту.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
coderisimo
@coderisimo Автор вопроса
Уважайте тех ,кто вам помогает , ёклмн! )
Сейчас в консоли
SSL handshake error: stream_socket_enable_crypto(): SSL operation failed with code 1. OpenSSL Error messages:
error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы