WS 协议和 WSS 协议两个均是 WebSocket 协议的基础,前者是非安全的后者是安全的,连个相当于 http 和 https ,非安全的没用帧数,安全的需要 SSL 证书(SSL 是 Netscape 所研发的,用来保障 网络中数据传输的安全性,主要运行数据加密的技术,能够避免传输过程中被窃取或者监听)。其中 WSS 就是在 TLS 之上的 WebSocket (TSL 是升级版的 SSL 介绍 )。
WS 一般默认的是 80 端口,而 WSS 默认的是 443 端口(80 和 443 端口的网站时需要备案才能接入国内的)。
websocket 时建立在 TCP 协议之上的,服务端容易实现;与 HTTP 协议又良好的兼容性,握手的时候不容易被屏蔽,可以通过各种 HTTP 代理服务器;数据轻量,实时通讯;可以发送文本和二进制数据。不限制同源,客户端可以与任意服务器端进行通讯。
下面来使用 nginx 反向代理 websocket 配置 SSL 和 WSS 配置包含两个部分,在 server 的全局部分配置支持 SSL 在 location 部分配置支持 WSS 首先把全部的配置文件粘贴在下面
配置负载均衡
支持 SSL 部分
配置 SSL 首先需要获取 SSL 的证书和密钥,配合着系统的 OpenSLL 进行加密和解密处理。 一般的 Linux 系统都会默认的安装 OpenSSL ,openssl 介绍。 使用 # openssl version 可以查看版本
获取 SSL 的路径: 五大权威的 SSL 证书颁发机构(CA机构) 阿里云申请 SSL 证书入口 各种免费的 SSL 证书(多是有体验期) 不同类型的 SSL 证书申请所需要的时间是不一样的,安装验证类型可以分为 OV 类型(个人)和 EV 类型(企业)。企业类型颁发时间较长,为 3 至 7 个工作日。
SSL 配置部分解释:
第一行:开启 SSL 第二行:ssl_certificate 证书,其实是一个公钥,会被发送到连接服务器的每个客户端 第三行:ssl_certificate_key 密钥用来解密,所以它的权限要得到保护,nginx 的主进程能够读取。 第四行:ssl_session_timeout 客户端可以重用会话缓存中 ssl 参数的过期时间,默认是 5m 也就是 5 分钟,可以设置成 30m 甚至 1h 第五行: ssl_sessio_cache shared:SSL:50m 设置了 ssl 会话缓存的类型和大小 shared 类型,所有工作进程之间共享缓存。缓存大小以字节为单位指定,这里指定为 50 兆,以兆字节可以存储大约 4000 个session 。 off 类型 ,严禁使用 session 缓存,nginx 会明确的告诉客户端 session 可能不会被重用。 none 类型 , session 缓存的使用被禁止。 第六行:ssl_protocols 用于启动特定的加密协议,nginx 在 1.1.13 和 1.0.12 版本后默认是 ssl_protocols SSLv3 TSLv1 TSLv1.1 TSLv1.2 TLSv1.1与TLSv1.2要确保OpenSSL >= 1.0.1 ,SSLv3 现在还有很多地方在用但有不少被攻击的漏洞。 第七行:ssl_ciphers 选择加密套件,介绍 第八行:ssl_prefer_server_ciphers on 设置协商加密算法时,优先使用我们服务端的加密套件,而不是客户端浏览器的加密套件。
支持 websocket 部分
/wss/ 告诉 nginx 要代理的 url ,当访问 https://192.168.1.110:8090/wss/ 映射到本机的 82 端口 proxy_http_version 代理时使用的 http 版本 proxy_set_header Upgrade 把代理时 http 请求头的 Upgrade 设置为原来 http 请求的请求头, wss 协议的请求头是 websocket proxy_set_header Connection 因为代理的 wss 协议,所以 http 请求头的 Connection 设置为 Upgrade