带有中间证书和交叉签名证书的 Crossbar SSL/TLS 配置
Crossbar SSL/TLS configuration with intermediate and cross-signed certificates
使用最新版本的 Crossbar(0.13,从 Ubuntu 14.04 上的 apt-get 安装)我在使用 SSL 和中间证书建立连接时遇到问题。
如果我在 tls 键中没有 ca_certificates 属性 设置服务器,那么服务器运行正常并且可以使用 Google [=50] 建立连接=] 通过 wss 协议。但是尝试使用 thruway 建立连接失败并出现以下错误:
Could not connect: Unable to complete SSL/TLS handshake: stream_socket_enable_crypto(): SSL operation failed with code 1. OpenSSL Error messages: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure
某些浏览器需要having spoken with the Thruway team seems to be a certificate issue - on our live site we use an intermediate and cross-signed certificate from Gandi,因此需要某些 open-ssl 实现。
虽然浏览器很乐意仅使用密钥和证书建立 TLS 连接,但高速公路需要一条链。然而,下面使用 Gandi 提供的两个证书的配置不适用于 either Chrome 或 Thruway。 Chrome 显示错误:
failed: WebSocket opening handshake was canceled
使用下面的.crossbar/config.json文件时。那么,这是我的配置、我的证书或 Open-SSL 堆栈的其他部分的问题吗?
(下面的文件已被更改以删除任何潜在的敏感信息,因此可能看起来由于其他原因它不起作用。如果连接正常,则底层身份验证和其他组件工作正常,所以请保留关于 TLS 实施的 answers/comments。评论无效 JSON 但包含在内以便读者可以看到正在使用的证书文件)
{
"version": 2,
"controller": {},
"workers": [
{
"type": "router",
"realms": [
{
"name": "test",
"roles": [
{
"name": "web",
"authorizer": "test.utils.permissions",
"disclose": {
"caller": true,
"publisher": true
}
},
{
"name": "no",
"permissions": []
}
]
}
],
"transports": [
{
"type": "websocket",
"endpoint": {
"type": "tcp",
"port": 9001,
"interface": "127.0.0.1"
},
"auth": {
"wampcra": {
"type": "static",
"users": {
"authenticator": {
"secret": "authenticator-REDACTED",
"role": "authenticator"
}
}
}
}
},
{
"type": "web",
"endpoint": {
"type": "tcp",
"port": 8089,
"tls": {
"key": "../ssl/key.pem",
"certificate": "../ssl/cert.pem",
"ca_certificates": [
"../ssl/gandi.pem", // https://www.gandi.net/static/CAs/GandiProSSLCA2.pem
"../ssl/gandi-cross-signed.pem" // https://wiki.gandi.net/en/ssl/intermediate#comodo_cross-signed_certificate
],
"dhparam": "../ssl/dhparam.pem"
}
},
"paths": {
"/": {
"type": "static",
"directory": "../web"
},
"ws": {
"type": "websocket",
"url": "wss://OUR-DOMAIN.com:8089/ws",
"auth": {
"wampcra": {
"type": "dynamic",
"authenticator": "test.utils.authenticate"
}
}
}
}
}
]
},
{
"type": "guest",
"executable": "/usr/bin/env",
"arguments": [
"php",
"../test.php",
"ws://127.0.0.1:9001",
"test",
"authenticator",
"authenticator-REDACTED"
]
}
]
}
还有其他问题解决与此类似的问题@
- This one 处理任何 TLS 错误都会终止 WSS 连接而没有任何有用错误的事实。
专门处理握手取消,但在他们的情况下,它是编译中使用的配置不正确的库,在这种情况下不相关,因为 Crossbar 是从 apt-get[ 安装的=46=]
这不是 Crossbar 的问题。这似乎是 WAMP 客户端 - 高速公路的问题。 Davidwdan 是高速公路 Github 存储库的所有者,他说:
"Thruway's Ratchet transport provider does not directly support SSL. You'll need to put some sort of proxy in front of it."
您可以在此处 https://github.com/voryx/Thruway/issues/163 找到有关 Davidwdan 和其他人对此的看法的更多信息。
现在开始解决问题。请注意,以下仅适用于 Apache 用户。如果你 运行 在 Nginx 上,这个想法几乎是一样的。
开始之前需要注意几件事。
- 按照 Crossbar 的教程进行安装!不要试图自己做!设置 Crossbar 还有更多内容。 Crossbar 的优秀员工专门为您制定了详细说明! https://crossbar.io/docs/Installation/.
- 对于这个例子,我在同一台机器上安装了 Crossbar 和 Apache 运行。虽然这不是要求也没有关系!
您要做的第一件事是创建一个新的虚拟主机。我为这个虚拟主机选择了端口 4043,但你可以选择任何你喜欢的端口。这个虚拟主机将适用于通过 wss://(使用 SSL)连接没有问题的每个 WAMP 库。这是 WAMP 客户端的完整列表:http://wamp-proto.org/implementations/。确保 ProxyPass 指令和 ProxyPassReverse 指令的 IP 地址指向 CROSSBAR 路由器所在的机器。在我的例子中,因为 Apache 和 Crossbar 在同一台机器上 运行 我只使用 127.0.0.1。还要确保 ProxyPass 指令和 ProxyPassReverse 指令中使用的端口与您在 .crossbar/config.json 中定义的端口完全相同!您还需要在此虚拟主机上设置一个 SSL 证书,您可以看到我已将其添加到代理指令下方。
Listen 4043
<VirtualHost *:4043>
ServerName example.org
ProxyRequests off
SSLProxyEngine on
ProxyPass /ws/ ws://127.0.0.1:8000/
ProxyPassReverse /ws/ ws://127.0.0.1:8000/
## Custom fragment
SSLEngine on
SSLCertificateFile /path/to/server_cert.pem
SSLCertificateKeyFile /path/to/server_key.pem
SSLCertificateChainFile /path/to/server_ca.pem
</VirtualHost>
接下来,确保您的 Crossbar 路由器没有设置 SSL!这非常重要。如果您将路由器配置为使用 SSL,则无法通过 SSL 连接的高速公路或任何其他图书馆将无法使用路由器!下面是您可以使用的有效 Crossbar config.json 文件。
{
"version": 2,
"controller": {},
"workers": [
{
"type": "router",
"realms": [
{
"name": "production_realm",
"roles": [
{
"name": "production_role",
"permissions": [
{
"uri": "",
"match": "prefix",
"allow": {
"call": true,
"register": true,
"publish": true,
"subscribe": true
}
}
]
}
]
}
],
"transports": [
{
"type": "websocket",
"endpoint": {
"type": "tcp",
"port": 8000
},
"options": {
"allowed_origins": ["http://*","https://*"]
},
"auth": {
"ticket": {
"type": "static",
"principals": {
"production_user": {
"ticket": "tSjlwueuireladgte",
"role": "production_role"
}
}
}
}
}
]
}
]
}
注意上面定义的端口号如何匹配虚拟主机中定义的端口号。
./crossbar/config.json:
"endpoint": {
"type": "tcp",
"port": 8000
},
虚拟主机:
ProxyPass /ws/ ws://127.0.0.1:8000/
ProxyPassReverse /ws/ ws://127.0.0.1:8000/
此外,如果您阅读其他教程,有些人会告诉您确保在虚拟主机文件中使用 ProxyPreserveHost 指令。不要听他们的!这会产生很多意想不到的结果。启用此指令后,此选项会将 Host: 行从传入请求传递到代理主机,而不是 ProxyPass 行中指定的主机名!甚至 Apache 都说要远离这个指令 https://httpd.apache.org/docs/2.4/mod/mod_proxy.html#proxypreservehost。如果您确实启用了它,您将收到类似于以下的错误消息:
failing WebSocket opening handshake ('missing port in HTTP Host header
'example.org' and server runs on non-standard port 8000 (wss =
False)')
最后但同样重要的是,确保安装并启用了以下所有 Apache 库。在最近的 Apache 安装中,默认安装了以下所有库,只需启用即可:
$ sudo a2enmod proxy
$ sudo a2enmod proxy_http
$ sudo a2enmod proxy_balancer
$ sudo a2enmod lbmethod_byrequests
$ sudo a2enmod proxy_wstunnel
确保打开虚拟主机文件正在侦听的端口以及 crossbar 路由器正在侦听的端口。就我而言:
$ sudo ufw allow 4043
$ sudo ufw allow 8000
最后重新启动 Apache,使所有更改生效。
$ sudo service apache2 restart
最后但同样重要的是,我想快速解释一下为什么必须完成所有这些工作:
- 如果您在服务器上设置了 SSL 证书,则在不使用 wss:// 的情况下尝试连接到任何 WAMP 路由器时,浏览器会抛出错误。
- 通常,解决此问题的方法是将您的 WAMP 路由器配置为使用已在您的服务器上设置的 SSL 证书。
- 唯一的问题是 Thruway.php(我知道唯一可以与 WAMP 一起工作的好 php 客户端)不能很好地与 wss:// 配合使用。甚至 GitHub 上 Thruway.php 的创建者也说它不起作用。
- 这个问题的解决方案是使用反向代理。
- 首先您需要设置您的 WAMP 路由器并确保它没有使用 SSL 证书。
- 接下来您需要设置反向代理,以便将 wss:// 请求转换为 ws://。这将允许您的浏览器连接到 WAMP 路由器而不会抱怨。
- 由于 WAMP 路由器未设置为使用 SSL,Thruway.php 也可以正常工作!
好吧......这就是所有人!我知道我需要对这个问题给出一个详细的答案,因为我花了 5 天的时间才弄清楚所有这些!
@Tay-Bae的回答已经很有用了。但这对我不起作用,客户收到 200 OK 响应。我需要做的就是将 WSS 流量转发到不支持 WSS (Thruway) 的内部 WS 客户端。
在查看论坛后,我偶然发现了这个答案:https://serverfault.com/a/846936。
他们添加了一个似乎需要 re-route 请求的重写部分。我认为 ProxyPassReverse 应该这样做,但事实并非如此。所以这是我的工作配置:
Listen 4043
<VirtualHost *:4043>
ServerName mydomain.net
ProxyRequests off
SSLProxyEngine on
ProxyPass /ws/ ws://127.0.0.1:8080/
ProxyPassReverse /ws/ ws://127.0.0.1:8080/
## Custom fragment
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/mydomaine.net/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/mydomain.net/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/mydomain.net/chain.pem
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTP:UPGRADE} ^WebSocket$ [NC]
RewriteCond %{HTTP:CONNECTION} Upgrade$ [NC]
RewriteRule .* ws://localhost:8080%{REQUEST_URI} [P]
</IfModule>
LogLevel debug
ErrorLog ${APACHE_LOG_DIR}/error_thruway.log
CustomLog ${APACHE_LOG_DIR}/access_thruway.log combined
</VirtualHost>
使用最新版本的 Crossbar(0.13,从 Ubuntu 14.04 上的 apt-get 安装)我在使用 SSL 和中间证书建立连接时遇到问题。
如果我在 tls 键中没有 ca_certificates 属性 设置服务器,那么服务器运行正常并且可以使用 Google [=50] 建立连接=] 通过 wss 协议。但是尝试使用 thruway 建立连接失败并出现以下错误:
Could not connect: Unable to complete SSL/TLS handshake: stream_socket_enable_crypto(): SSL operation failed with code 1. OpenSSL Error messages: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure
某些浏览器需要having spoken with the Thruway team seems to be a certificate issue - on our live site we use an intermediate and cross-signed certificate from Gandi,因此需要某些 open-ssl 实现。
虽然浏览器很乐意仅使用密钥和证书建立 TLS 连接,但高速公路需要一条链。然而,下面使用 Gandi 提供的两个证书的配置不适用于 either Chrome 或 Thruway。 Chrome 显示错误:
failed: WebSocket opening handshake was canceled
使用下面的.crossbar/config.json文件时。那么,这是我的配置、我的证书或 Open-SSL 堆栈的其他部分的问题吗?
(下面的文件已被更改以删除任何潜在的敏感信息,因此可能看起来由于其他原因它不起作用。如果连接正常,则底层身份验证和其他组件工作正常,所以请保留关于 TLS 实施的 answers/comments。评论无效 JSON 但包含在内以便读者可以看到正在使用的证书文件)
{
"version": 2,
"controller": {},
"workers": [
{
"type": "router",
"realms": [
{
"name": "test",
"roles": [
{
"name": "web",
"authorizer": "test.utils.permissions",
"disclose": {
"caller": true,
"publisher": true
}
},
{
"name": "no",
"permissions": []
}
]
}
],
"transports": [
{
"type": "websocket",
"endpoint": {
"type": "tcp",
"port": 9001,
"interface": "127.0.0.1"
},
"auth": {
"wampcra": {
"type": "static",
"users": {
"authenticator": {
"secret": "authenticator-REDACTED",
"role": "authenticator"
}
}
}
}
},
{
"type": "web",
"endpoint": {
"type": "tcp",
"port": 8089,
"tls": {
"key": "../ssl/key.pem",
"certificate": "../ssl/cert.pem",
"ca_certificates": [
"../ssl/gandi.pem", // https://www.gandi.net/static/CAs/GandiProSSLCA2.pem
"../ssl/gandi-cross-signed.pem" // https://wiki.gandi.net/en/ssl/intermediate#comodo_cross-signed_certificate
],
"dhparam": "../ssl/dhparam.pem"
}
},
"paths": {
"/": {
"type": "static",
"directory": "../web"
},
"ws": {
"type": "websocket",
"url": "wss://OUR-DOMAIN.com:8089/ws",
"auth": {
"wampcra": {
"type": "dynamic",
"authenticator": "test.utils.authenticate"
}
}
}
}
}
]
},
{
"type": "guest",
"executable": "/usr/bin/env",
"arguments": [
"php",
"../test.php",
"ws://127.0.0.1:9001",
"test",
"authenticator",
"authenticator-REDACTED"
]
}
]
}
还有其他问题解决与此类似的问题@
- This one 处理任何 TLS 错误都会终止 WSS 连接而没有任何有用错误的事实。
apt-get[ 安装的=46=]
这不是 Crossbar 的问题。这似乎是 WAMP 客户端 - 高速公路的问题。 Davidwdan 是高速公路 Github 存储库的所有者,他说:
"Thruway's Ratchet transport provider does not directly support SSL. You'll need to put some sort of proxy in front of it."
您可以在此处 https://github.com/voryx/Thruway/issues/163 找到有关 Davidwdan 和其他人对此的看法的更多信息。
现在开始解决问题。请注意,以下仅适用于 Apache 用户。如果你 运行 在 Nginx 上,这个想法几乎是一样的。
开始之前需要注意几件事。
- 按照 Crossbar 的教程进行安装!不要试图自己做!设置 Crossbar 还有更多内容。 Crossbar 的优秀员工专门为您制定了详细说明! https://crossbar.io/docs/Installation/.
- 对于这个例子,我在同一台机器上安装了 Crossbar 和 Apache 运行。虽然这不是要求也没有关系!
您要做的第一件事是创建一个新的虚拟主机。我为这个虚拟主机选择了端口 4043,但你可以选择任何你喜欢的端口。这个虚拟主机将适用于通过 wss://(使用 SSL)连接没有问题的每个 WAMP 库。这是 WAMP 客户端的完整列表:http://wamp-proto.org/implementations/。确保 ProxyPass 指令和 ProxyPassReverse 指令的 IP 地址指向 CROSSBAR 路由器所在的机器。在我的例子中,因为 Apache 和 Crossbar 在同一台机器上 运行 我只使用 127.0.0.1。还要确保 ProxyPass 指令和 ProxyPassReverse 指令中使用的端口与您在 .crossbar/config.json 中定义的端口完全相同!您还需要在此虚拟主机上设置一个 SSL 证书,您可以看到我已将其添加到代理指令下方。
Listen 4043
<VirtualHost *:4043>
ServerName example.org
ProxyRequests off
SSLProxyEngine on
ProxyPass /ws/ ws://127.0.0.1:8000/
ProxyPassReverse /ws/ ws://127.0.0.1:8000/
## Custom fragment
SSLEngine on
SSLCertificateFile /path/to/server_cert.pem
SSLCertificateKeyFile /path/to/server_key.pem
SSLCertificateChainFile /path/to/server_ca.pem
</VirtualHost>
接下来,确保您的 Crossbar 路由器没有设置 SSL!这非常重要。如果您将路由器配置为使用 SSL,则无法通过 SSL 连接的高速公路或任何其他图书馆将无法使用路由器!下面是您可以使用的有效 Crossbar config.json 文件。
{
"version": 2,
"controller": {},
"workers": [
{
"type": "router",
"realms": [
{
"name": "production_realm",
"roles": [
{
"name": "production_role",
"permissions": [
{
"uri": "",
"match": "prefix",
"allow": {
"call": true,
"register": true,
"publish": true,
"subscribe": true
}
}
]
}
]
}
],
"transports": [
{
"type": "websocket",
"endpoint": {
"type": "tcp",
"port": 8000
},
"options": {
"allowed_origins": ["http://*","https://*"]
},
"auth": {
"ticket": {
"type": "static",
"principals": {
"production_user": {
"ticket": "tSjlwueuireladgte",
"role": "production_role"
}
}
}
}
}
]
}
]
}
注意上面定义的端口号如何匹配虚拟主机中定义的端口号。
./crossbar/config.json:
"endpoint": {
"type": "tcp",
"port": 8000
},
虚拟主机:
ProxyPass /ws/ ws://127.0.0.1:8000/
ProxyPassReverse /ws/ ws://127.0.0.1:8000/
此外,如果您阅读其他教程,有些人会告诉您确保在虚拟主机文件中使用 ProxyPreserveHost 指令。不要听他们的!这会产生很多意想不到的结果。启用此指令后,此选项会将 Host: 行从传入请求传递到代理主机,而不是 ProxyPass 行中指定的主机名!甚至 Apache 都说要远离这个指令 https://httpd.apache.org/docs/2.4/mod/mod_proxy.html#proxypreservehost。如果您确实启用了它,您将收到类似于以下的错误消息:
failing WebSocket opening handshake ('missing port in HTTP Host header
'example.org' and server runs on non-standard port 8000 (wss =
False)')
最后但同样重要的是,确保安装并启用了以下所有 Apache 库。在最近的 Apache 安装中,默认安装了以下所有库,只需启用即可:
$ sudo a2enmod proxy
$ sudo a2enmod proxy_http
$ sudo a2enmod proxy_balancer
$ sudo a2enmod lbmethod_byrequests
$ sudo a2enmod proxy_wstunnel
确保打开虚拟主机文件正在侦听的端口以及 crossbar 路由器正在侦听的端口。就我而言:
$ sudo ufw allow 4043
$ sudo ufw allow 8000
最后重新启动 Apache,使所有更改生效。
$ sudo service apache2 restart
最后但同样重要的是,我想快速解释一下为什么必须完成所有这些工作:
- 如果您在服务器上设置了 SSL 证书,则在不使用 wss:// 的情况下尝试连接到任何 WAMP 路由器时,浏览器会抛出错误。
- 通常,解决此问题的方法是将您的 WAMP 路由器配置为使用已在您的服务器上设置的 SSL 证书。
- 唯一的问题是 Thruway.php(我知道唯一可以与 WAMP 一起工作的好 php 客户端)不能很好地与 wss:// 配合使用。甚至 GitHub 上 Thruway.php 的创建者也说它不起作用。
- 这个问题的解决方案是使用反向代理。
- 首先您需要设置您的 WAMP 路由器并确保它没有使用 SSL 证书。
- 接下来您需要设置反向代理,以便将 wss:// 请求转换为 ws://。这将允许您的浏览器连接到 WAMP 路由器而不会抱怨。
- 由于 WAMP 路由器未设置为使用 SSL,Thruway.php 也可以正常工作!
好吧......这就是所有人!我知道我需要对这个问题给出一个详细的答案,因为我花了 5 天的时间才弄清楚所有这些!
@Tay-Bae的回答已经很有用了。但这对我不起作用,客户收到 200 OK 响应。我需要做的就是将 WSS 流量转发到不支持 WSS (Thruway) 的内部 WS 客户端。 在查看论坛后,我偶然发现了这个答案:https://serverfault.com/a/846936。 他们添加了一个似乎需要 re-route 请求的重写部分。我认为 ProxyPassReverse 应该这样做,但事实并非如此。所以这是我的工作配置:
Listen 4043
<VirtualHost *:4043>
ServerName mydomain.net
ProxyRequests off
SSLProxyEngine on
ProxyPass /ws/ ws://127.0.0.1:8080/
ProxyPassReverse /ws/ ws://127.0.0.1:8080/
## Custom fragment
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/mydomaine.net/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/mydomain.net/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/mydomain.net/chain.pem
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTP:UPGRADE} ^WebSocket$ [NC]
RewriteCond %{HTTP:CONNECTION} Upgrade$ [NC]
RewriteRule .* ws://localhost:8080%{REQUEST_URI} [P]
</IfModule>
LogLevel debug
ErrorLog ${APACHE_LOG_DIR}/error_thruway.log
CustomLog ${APACHE_LOG_DIR}/access_thruway.log combined
</VirtualHost>