如何在Nginx中配置SSL直连WebSocket

最新推荐文章于 2025-05-22 16:34:11 发布
最新推荐文章于 2025-05-22 16:34:11 发布
阅读量525 收藏 3
点赞数 7
分类专栏: 安全 加固 等保 文章标签: nginx ssl websocket
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jjj_web/article/details/148115976
版权

以下是在 Nginx 中配置 SSL 直连 WebSocket(WSS)的完整指南,涵盖证书配置、协议升级和性能优化,特别适配生产环境需求:

1. 核心配置模板

在 Nginx 配置文件中(如 /etc/nginx/sites-available/your-domain.conf),添加以下内容:

server {
    listen 443 ssl http2;
    server_name your-domain.com;

    # SSL 证书配置(必须)
    ssl_certificate /etc/letsencrypt/live/your-domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/your-domain.com/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
    ssl_prefer_server_ciphers on;

    # WebSocket SSL 直连配置
    location /wss {
        proxy_pass https://localhost:6002;  # 指向后端 WebSocket 服务的 HTTPS 端口
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_set_header Host $host;
        
        # SSL 证书双向验证(可选)
        proxy_ssl_certificate /path/to/client.crt;
        proxy_ssl_certificate_key /path/to/client.key;
        proxy_ssl_trusted_certificate /path/to/ca.crt;
        proxy_ssl_verify on;
        proxy_ssl_verify_depth 2;

        # 连接优化
        proxy_read_timeout 86400s;
        proxy_send_timeout 86400s;
        proxy_buffer_size 128k;
    }

    # 其他 HTTPS 路由
    location / {
        proxy_pass http://localhost:8000;
        proxy_set_header Host $host;
    }
}

2. 关键参数解析

参数作用必需
proxy_pass https://...代理到后端 HTTPS WebSocket 服务
proxy_http_version 1.1启用 HTTP/1.1 支持协议升级
Upgrade $http_upgrade协议升级为 WebSocket
Connection "upgrade"保持长连接
proxy_ssl_certificate客户端证书(双向验证时)
proxy_read_timeout防止空闲断开(建议 ≥86400s)

3. 后端 WebSocket 服务配置示例

Node.js + ws 库 为例,需启用 HTTPS 服务:

// server.js
const fs = require('fs');
const https = require('https');
const WebSocket = require('ws');

const server = https.createServer({
  cert: fs.readFileSync('/path/to/server.crt'),
  key: fs.readFileSync('/path/to/server.key'),
  ca: fs.readFileSync('/path/to/ca.crt')  // 可选:CA 证书
});

const wss = new WebSocket.Server({ server });

wss.on('connection', (ws) => {
  console.log('Client connected');
  ws.send('Welcome to WSS!');
});

server.listen(6002, () => {
  console.log('WSS server running on wss://localhost:6002');
});

4. 证书管理最佳实践

4.1 证书类型
  • 单向 SSL:仅客户端验证服务端(常用)
  • 双向 SSL:客户端和服务端互相验证(高安全场景)
4.2 Let’s Encrypt 自动续期
# 申请证书(如果尚未申请)
sudo certbot certonly --nginx -d your-domain.com

# 测试续期
sudo certbot renew --dry-run

5. 高级配置选项

5.1 负载均衡多个 WSS 节点
upstream wss_cluster {
    server ws1.example.com:6002;
    server ws2.example.com:6002;
    keepalive 64;  # 保持连接池
}

location /wss {
    proxy_pass https://wss_cluster;
    # ... 其他 WebSocket 参数 ...
}
5.2 安全加固
location /wss {
    # IP 白名单限制
    allow 192.168.1.0/24;
    allow 10.0.0.0/8;
    deny all;

    # 禁用缓存
    proxy_buffering off;
}

6. 测试与验证

6.1 使用 openssl 测试连接
openssl s_client -connect your-domain.com:443 -servername your-domain.com -status

检查输出是否包含:

TLSv1.3, Cipher: TLS_AES_256_GCM_SHA384
Extension: status_request
6.2 浏览器端测试
// 前端代码
const socket = new WebSocket('wss://your-domain.com/wss');
socket.onopen = () => console.log('WSS connected!');

7. 常见问题排查

问题 1:证书不信任
  • 现象:浏览器提示 NET::ERR_CERT_AUTHORITY_INVALID
  • 解决:确保证书链完整(包含中间证书)
问题 2:WebSocket 握手失败
  • 日志检查
    sudo tail -f /var/log/nginx/error.log | grep 'upgrade'
  • 可能原因:缺失 UpgradeConnection
问题 3:双向 SSL 验证失败
  • 调试命令
    curl -v --cert /path/to/client.crt --key /path/to/client.key https://your-domain.com/wss

8. 性能优化参数

# 在 http 块中添加
proxy_ssl_session_reuse on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 24h;

# 单个连接配置
location /wss {
    proxy_ssl_server_name on;
    proxy_ssl_protocols TLSv1.2 TLSv1.3;
    proxy_ssl_ciphers 'HIGH:!aNULL:!MD5';
}

9. 完整配置示例

Nginx + 双向 SSL 验证 + Laravel Echo Server

server {
    listen 443 ssl http2;
    server_name your-domain.com;

    ssl_certificate /etc/letsencrypt/live/your-domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/your-domain.com/privkey.pem;

    location /wss {
        proxy_pass https://localhost:6002;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        
        # 双向 SSL 验证
        proxy_ssl_certificate /etc/nginx/client.crt;
        proxy_ssl_certificate_key /etc/nginx/client.key;
        proxy_ssl_trusted_certificate /etc/nginx/ca.crt;
        proxy_ssl_verify on;

        # 安全头
        add_header Strict-Transport-Security "max-age=31536000";
    }
}

通过以上配置,你的 WebSocket 服务将获得:
端到端加密(SSL 直连)
高性能长连接(支持 HTTP/2 + TLS 1.3)
企业级安全(可选双向验证)
遇到问题时,优先检查 Nginx 错误日志后端 WebSocket 服务日志

nginx或tengine服务器,配置HTTPS下使用WebSocket的线上环境实践!
tersky的专栏
04-09 656
因我们的站点支持HTTP 和 HTTPS 双协议栈网站访问,使用同一套前端代码,因此就需要前端同学 在代理中加入判断,当我访问的是HTTP 站点的时候,走WS 协议,同理 当我访问的是HTTPS 站点的时候,走WSS 协议。HTTPS 下发起WS连接,连接失败,Chrom 浏览器报错。HTTPS 连接下浏览器不允许WS协议,只允许WSS协议。确定接口能提供ws 的能力。
webSocket+nginx 频繁断开 问题处理
yaole3268582的博客
11-01 7712
前端使用的vue连接后端webSocket 后端一报这个错误java.io.EOFException java.io.EOFException at org.apache.tomcat.util.net.NioEndpoint$NioSocketWrapper.fillReadBuffer(NioEndpoint.java:1231) at org.apache.tomcat.util.net.NioEndpoint$NioSocketWrapper.read(NioEndpoin...
使用Nginx为TCP/WebSocket协议做反向代理和几个易踩的坑
热门推荐
软件架构农
05-12 1万+
通常,我们使用Nginx为后端WEB服务做反向代理或负载均衡,但如果我们的后端服务,并不是HTTP/HTTPS协议,而是TCP协议或WebSocket协议呢 最近遇到一个需求,我们的HTTPS以及MQTT服务端在海外云主机上,从大陆连延时丢包严重,但如果从香港转发的话,网络质量会好很多,于是在香港云主机搭建反向代理,同时代理HTTPS和MQTT服务。 说到TCP协议服务的反向代理,有个出名的软件...
使用Nginx代理和转发Websocket连接
aichang1358的博客
05-16 1528
1.Websocket 简介 WebSocket协议是基于TCP的一种新的网络协议。它实现了浏览器与服务器全双工(full-duplex)通信——允许服务器主动发送信息给客户端。 2.Nginx 简介 Nginx是一个反向代理服务器,所有的来自浏览器的请求必须经过Nginx。 通常的正向代理服务器,只用于代理内部网络对Internet的连接请求,客户机必须指定代理服务器,并...
1.学习Nginx 详细介绍(负载均衡、全局异常、跨域、封禁IP、路径匹配、地址重定向、Websocket反向代理、缓存、压缩)
weixin_43620238的博客
08-05 1737
学习Nginx 详细介绍(负载均衡、全局异常、跨域、封禁IP、路径匹配、地址重定向、Websocket反向代理、缓存、压缩)
一文搞懂Nginx如何配置Http、Https、WS、WSS!
冰河的专栏
03-05 5268
跟冰河一起学习Nginx配置呀!!
code-server:WebSocket close with status code 1006
qq_43616811的博客
08-26 1263
通过nginx-proxy-manager加了ssl,又出现WebSocket close with status code 1006问题。备忘:code-server使用git graph无法显示问题和markdown无法预览问题,都是由于http:ip连导致。
学习笔记 -- Nginx(持续更新中)
mocoll的博客
01-16 845
Nginx是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAPPOP3SMTP服务。它是由伊戈尔·赛索耶夫为俄罗斯访问量第二的Rambler.ru站点开发的,其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、简单的配置文件和低系统资源的消耗而闻名。
Nginx网站服务
A6985HG的博客
08-10 1104
是一个高性能的HTTP和反向代理服务器。Nginx是由为俄罗斯访问点开量第二的Rambler.ru站发的,第一个公开版本0.1.0发布于2004年10月4日。其将源 代码以类 BSD许可证的形式发布,因它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而 闻 名。2011 年6月1日,发布。Nginx是一款轻量级的Web服务器反向代理服务器及电子邮件(IMAP/POP3)代理服务器,单台物理服务器可支持30 00050 000。
Nginx监控不再难:简化部署流程,提升监控效率
crossoverJie专栏
07-24 1060
前段时间接到一个需求,希望可以监控 Nginx 的运行状态。我们都知道 Nginx 作为一个流行的 Web 服务器提供了多种能力,包括反向代理、负载均衡;也支持了许多协议,包括:gRPChttpWebSocket 等 作为一个流量入口的中间件,对其的监控就显得至关重要了。市面上也有一些现成的产品可以监控 Nginx,比如知名的监控服务商 datadog 也提供了 Nginx 的监控。但是我这是一个...
怎么通过nginx代理mqtt
04-01
*适用场景*:物联网设备连代理 ##### 2. WebSocket代理配置 ```nginx http { map $http_upgrade $connection_upgrade { default upgrade; '' close; } upstream mqtt_ws { server 10.0.0.2:8083; # MQTT ...
MySQL迁移SSL报错
最新发布
一条大河
05-22 220
文章记录了之前tdsql迁移IDC过程中遇到的小问题。
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException
fishernemo的专栏
05-19 330
排查结果:SSL证书进行了更新,本地有缓存,导致严重不通过,清除本地证书缓存可以解决。调用API接口,返回以上错误。
MySQL 中 information_schema.processlist 使用原理
Se_a_的博客
05-21 450
information_schema.processlist 是 MySQL 中一个关键的系统视图,用于展示当前服务器中所有正在运行的线程信息,对数据库监控和性能分析至关重要。
TCP和套接字SSL加密连接行为分析
Eucalyptus's blog
05-19 1154
SSL认证通过在客户端和云数据库服务器之间建立加密通道,确保数据传输的安全性,防止信息被窃听、篡改或冒充。MySQL支持SSL加密,通过配置相关参数(如have_openssl、have_ssl、require_secure_transport等)来控制SSL的使用。默认情况下,MySQL会尝试使用加密连接,即使客户端未明确指定SSL参数。然而,套接字连接默认不加密,若账号设置为REQUIRESSL且未指定SSL参数,连接将失败。通过SSL加密,MySQL能够有效提升数据传输的安全性和完整性,尽管可能会增加
SSL/TLS证书申请与管理技术指南
2501_90994755的博客
05-22 712
SSL/TLS证书是基于非对称加密体系构建的网络安全解决方案,通过X.509标准实现服务器身份验证和数据加密传输。证书包含的关键字段包括:颁发机构信息、主体信息、公钥数据、有效期范围以及数字签名等元数据。
npm 安装时 SSL 证书过期问题笔记
m0_62227630的博客
05-19 462
这表明当前配置的 npm 镜像源(淘宝镜像。)的 SSL 证书已过期,导致连接被拒绝。
kali工具集-sslscan安全检测与HTTPS服务器部署实践
qq_46487664的博客
05-21 583
本实验旨在通过使用phpstudy_pro工具在Windows虚拟机上部署一个支持HTTPS协议的Web服务器,并为其配置自签名SSL证书。随后,在Kali Linux系统中使用curl和sslscan等工具对搭建的HTTPS服务进行访问与安全性检测。通过该实验,学生将掌握HTTPS的基本原理、SSL/TLS证书的生成与应用方法,以及如何对Web服务的安全性进行初步评估。
VS2017编译openssl3.0.8
ifeng12358的博客
05-19 191
openssl是一个功能丰富且自包含的开源安全工具箱。它提供的主要功能有:SSL协议实现(包括SSLv2、SSLv3和TLSv1)、大量软算法(对称/非对称/摘要)、大数运算、非对称算法密钥生成、ASN.1编解码库、证书请求(PKCS10)编解码、数字证书编解码、CRL编解码、OCSP协议、数字证书验证、PKCS7标准实现和PKCS12个人数字证书格式实现等功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值