带有中间证书和交叉签名证书的 Crossbar SSL/TLS 配置

Crossbar SSL/TLS configuration with intermediate and cross-signed certificates

使用最新版本的 Crossbar(0.13,从 Ubuntu 14.04 上的 apt-get 安装)我在使用 SSL 和中间证书建立连接时遇到问题。

如果我在 tls 键中没有 ca_certificates 属性 设置服务器,那么服务器运行正常并且可以使用 Google [=50] 建立连接=] 通过 wss 协议。但是尝试使用 thruway 建立连接失败并出现以下错误:

Could not connect: Unable to complete SSL/TLS handshake: stream_socket_enable_crypto(): SSL operation failed with code 1. OpenSSL Error messages: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure

某些浏览器需要having spoken with the Thruway team seems to be a certificate issue - on our live site we use an intermediate and cross-signed certificate from Gandi,因此需要某些 open-ssl 实现。

虽然浏览器很乐意仅使用密钥和证书建立 TLS 连接,但高速公路需要一条链。然而,下面使用 Gandi 提供的两个证书的配置不适用于 either Chrome 或 Thruway。 Chrome 显示错误:

failed: WebSocket opening handshake was canceled

使用下面的.crossbar/config.json文件时。那么,这是我的配置、我的证书或 Open-SSL 堆栈的其他部分的问题吗?

(下面的文件已被更改以删除任何潜在的敏感信息,因此可能看起来由于其他原因它不起作用。如果连接正常,则底层身份验证和其他组件工作正常,所以请保留关于 TLS 实施的 answers/comments。评论无效 JSON 但包含在内以便读者可以看到正在使用的证书文件)

{
    "version": 2,
    "controller": {},
    "workers": [
        {
            "type": "router",
            "realms": [
                {
                    "name": "test",
                    "roles": [
                        {
                            "name": "web",
                            "authorizer": "test.utils.permissions",
                            "disclose": {
                                "caller": true,
                                "publisher": true
                            }
                        },
                        {
                            "name": "no",
                            "permissions": []
                        }
                    ]
                }
            ],
            "transports": [
                {
                    "type": "websocket",
                    "endpoint": {
                        "type": "tcp",
                        "port": 9001,
                        "interface": "127.0.0.1"
                    },
                    "auth": {
                        "wampcra": {
                            "type": "static",
                            "users": {
                                "authenticator": {
                                    "secret": "authenticator-REDACTED",
                                    "role": "authenticator"
                                }
                            }
                        }
                    }
                },
                {
                    "type": "web",
                    "endpoint": {
                        "type": "tcp",
                        "port": 8089,
                        "tls": {
                            "key": "../ssl/key.pem",
                            "certificate": "../ssl/cert.pem",
                            "ca_certificates": [
                                "../ssl/gandi.pem", // https://www.gandi.net/static/CAs/GandiProSSLCA2.pem
                                "../ssl/gandi-cross-signed.pem" // https://wiki.gandi.net/en/ssl/intermediate#comodo_cross-signed_certificate
                            ],
                            "dhparam": "../ssl/dhparam.pem"
                        }
                    },
                    "paths": {
                        "/": {
                            "type": "static",
                            "directory": "../web"
                        },
                        "ws": {
                            "type": "websocket",
                            "url": "wss://OUR-DOMAIN.com:8089/ws",
                            "auth": {
                                "wampcra": {
                                    "type": "dynamic",
                                    "authenticator": "test.utils.authenticate"
                                }
                            }
                        }
                    }
                }
            ]
        },
        {
            "type": "guest",
            "executable": "/usr/bin/env",
            "arguments": [
                "php",
                "../test.php",
                "ws://127.0.0.1:9001",
                "test",
                "authenticator",
                "authenticator-REDACTED"
            ]
        }
    ]
}

还有其他问题解决与此类似的问题@

这不是 Crossbar 的问题。这似乎是 WAMP 客户端 - 高速公路的问题。 Davidwdan 是高速公路 Github 存储库的所有者,他说:

"Thruway's Ratchet transport provider does not directly support SSL. You'll need to put some sort of proxy in front of it."

您可以在此处 https://github.com/voryx/Thruway/issues/163 找到有关 Davidwdan 和其他人对此的看法的更多信息。

现在开始解决问题。请注意,以下仅适用于 Apache 用户。如果你 运行 在 Nginx 上,这个想法几乎是一样的。

开始之前需要注意几件事。

  1. 按照 Crossbar 的教程进行安装!不要试图自己做!设置 Crossbar 还有更多内容。 Crossbar 的优秀员工专门为您制定了详细说明! https://crossbar.io/docs/Installation/.
  2. 对于这个例子,我在同一台机器上安装了 Crossbar 和 Apache 运行。虽然这不是要求也没有关系!

您要做的第一件事是创建一个新的虚拟主机。我为这个虚拟主机选择了端口 4043,但你可以选择任何你喜欢的端口。这个虚拟主机将适用于通过 wss://(使用 SSL)连接没有问题的每个 WAMP 库。这是 WAMP 客户端的完整列表:http://wamp-proto.org/implementations/。确保 ProxyPass 指令和 ProxyPassReverse 指令的 IP 地址指向 CROSSBAR 路由器所在的机器。在我的例子中,因为 Apache 和 Crossbar 在同一台机器上 运行 我只使用 127.0.0.1。还要确保 ProxyPass 指令和 ProxyPassReverse 指令中使用的端口与您在 .crossbar/config.json 中定义的端口完全相同!您还需要在此虚拟主机上设置一个 SSL 证书,您可以看到我已将其添加到代理指令下方。

Listen 4043

<VirtualHost *:4043>
ServerName example.org
ProxyRequests off
SSLProxyEngine on
ProxyPass /ws/ ws://127.0.0.1:8000/
ProxyPassReverse /ws/ ws://127.0.0.1:8000/

## Custom fragment
SSLEngine on
SSLCertificateFile /path/to/server_cert.pem
SSLCertificateKeyFile /path/to/server_key.pem
SSLCertificateChainFile /path/to/server_ca.pem
</VirtualHost>

接下来,确保您的 Crossbar 路由器没有设置 SSL!这非常重要。如果您将路由器配置为使用 SSL,则无法通过 SSL 连接的高速公路或任何其他图书馆将无法使用路由器!下面是您可以使用的有效 Crossbar config.json 文件。

{
 "version": 2,
 "controller": {},
 "workers": [
 {
  "type": "router",
  "realms": [
    {
      "name": "production_realm",
      "roles": [
        {
          "name": "production_role",
          "permissions": [
            {
              "uri": "",
              "match": "prefix",
              "allow": {
                "call": true,
                "register": true,
                "publish": true,
                "subscribe": true
              }
            }
          ]
        }
      ]
    }
  ],
  "transports": [
    {
      "type": "websocket",
      "endpoint": {
        "type": "tcp",
        "port": 8000
        },
        "options": {
            "allowed_origins": ["http://*","https://*"]
      },
      "auth": {
        "ticket": {
          "type": "static",
          "principals": {
            "production_user": {
              "ticket": "tSjlwueuireladgte",
              "role": "production_role"
            }
          }
        }
      }
    }
   ]
  }
 ]
}  

注意上面定义的端口号如何匹配虚拟主机中定义的端口号。

./crossbar/config.json:

"endpoint": {
        "type": "tcp",
        "port": 8000
        },

虚拟主机:

ProxyPass /ws/ ws://127.0.0.1:8000/
ProxyPassReverse /ws/ ws://127.0.0.1:8000/

此外,如果您阅读其他教程,有些人会告诉您确保在虚拟主机文件中使用 ProxyPreserveHost 指令。不要听他们的!这会产生很多意想不到的结果。启用此指令后,此选项会将 Host: 行从传入请求传递到代理主机,而不是 ProxyPass 行中指定的主机名!甚至 Apache 都说要远离这个指令 https://httpd.apache.org/docs/2.4/mod/mod_proxy.html#proxypreservehost。如果您确实启用了它,您将收到类似于以下的错误消息:

failing WebSocket opening handshake ('missing port in HTTP Host header 
'example.org' and server runs on non-standard port 8000 (wss = 
False)')

最后但同样重要的是,确保安装并启用了以下所有 Apache 库。在最近的 Apache 安装中,默认安装了以下所有库,只需启用即可:

$ sudo a2enmod proxy
$ sudo a2enmod proxy_http
$ sudo a2enmod proxy_balancer
$ sudo a2enmod lbmethod_byrequests
$ sudo a2enmod proxy_wstunnel

确保打开虚拟主机文件正在侦听的端口以及 crossbar 路由器正在侦听的端口。就我而言:

$ sudo ufw allow 4043
$ sudo ufw allow 8000

最后重新启动 Apache,使所有更改生效。

$ sudo service apache2 restart

最后但同样重要的是,我想快速解释一下为什么必须完成所有这些工作:

  1. 如果您在服务器上设置了 SSL 证书,则在不使用 wss:// 的情况下尝试连接到任何 WAMP 路由器时,浏览器会抛出错误。
  2. 通常,解决此问题的方法是将您的 WAMP 路由器配置为使用已在您的服务器上设置的 SSL 证书。
  3. 唯一的问题是 Thruway.php(我知道唯一可以与 WAMP 一起工作的好 php 客户端)不能很好地与 wss:// 配合使用。甚至 GitHub 上 Thruway.php 的创建者也说它不起作用。
  4. 这个问题的解决方案是使用反向代理。
  5. 首先您需要设置您的 WAMP 路由器并确保它没有使用 SSL 证书。
  6. 接下来您需要设置反向代理,以便将 wss:// 请求转换为 ws://。这将允许您的浏览器连接到 WAMP 路由器而不会抱怨。
  7. 由于 WAMP 路由器未设置为使用 SSL,Thruway.php 也可以正常工作!

好吧......这就是所有人!我知道我需要对这个问题给出一个详细的答案,因为我花了 5 天的时间才弄清楚所有这些!

@Tay-Bae的回答已经很有用了。但这对我不起作用,客户收到 200 OK 响应。我需要做的就是将 WSS 流量转发到不支持 WSS (Thruway) 的内部 WS 客户端。 在查看论坛后,我偶然发现了这个答案:https://serverfault.com/a/846936。 他们添加了一个似乎需要 re-route 请求的重写部分。我认为 ProxyPassReverse 应该这样做,但事实并非如此。所以这是我的工作配置:

Listen 4043
<VirtualHost *:4043>
        ServerName mydomain.net
        ProxyRequests off
        SSLProxyEngine on
        ProxyPass /ws/ ws://127.0.0.1:8080/
        ProxyPassReverse /ws/ ws://127.0.0.1:8080/

        ## Custom fragment
        SSLEngine on
        SSLCertificateFile /etc/letsencrypt/live/mydomaine.net/cert.pem
        SSLCertificateKeyFile /etc/letsencrypt/live/mydomain.net/privkey.pem
        SSLCertificateChainFile /etc/letsencrypt/live/mydomain.net/chain.pem

        <IfModule mod_rewrite.c>
                RewriteEngine on
                RewriteCond %{HTTP:UPGRADE} ^WebSocket$ [NC]
                RewriteCond %{HTTP:CONNECTION} Upgrade$ [NC]
                RewriteRule .* ws://localhost:8080%{REQUEST_URI} [P]
        </IfModule>

        LogLevel debug
        ErrorLog ${APACHE_LOG_DIR}/error_thruway.log
        CustomLog ${APACHE_LOG_DIR}/access_thruway.log combined
</VirtualHost>