场景
在 http 协议下能正常工作的 websocket,换成了 https 协议后,就凉凉了
因为:https下你需要使用wss协议做安全链接,且wss下不支持ip地址的写法,必须是域名形式
http -> new WebSocket('ws://122.112.112.60:8888')
https -> new WebSocket('wss://xxx.com')
准备步骤
- 购买证书
- 下载ssl证书(tomcat、apache、nginx、根文件几个选项,这里我们用nginx,解压得到两个文件" .pem 和 .key ")
- 域名解析绑定 nginx 所在服务器的 ip
- 测试域名是否可用:ping xxx.com,能看到实际 ping 的是对应的服务器ip就成功了
- 测试服务器的端口号是否对外开放:telnet xxx.com 443
开始部署
map $http_upgrade $connection_upgrade {
default upgrade;
'' close;
}
upstream wss {
server 192.168.0.10:8888;
server 192.168.0.11:8888 backup;
}
server {
listen 443;
server_name wss.xxx.com;#域名
#ssl证书
ssl_certificate /usr/local/nginx/conf/ssl/wss.xxx.com.pem;
ssl_certificate_key /usr/local/nginx/conf/ssl/wss.xxx.com.key;
ssl_verify_client off;
ssl_session_timeout 20m;
ssl_session_cache shared:SSL:1m;
# 指定密码为openssl支持的格式
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
# 密码加密方式
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
# 依赖SSLv3和TLSv1协议的服务器密码将优先于客户端密码
ssl_prefer_server_ciphers on;
location /wss {
#代理地址:http协议下的websocket地址,http://{$ip}:{$port}/websocket,ip和端口用 upstream 的名称来替代。
proxy_pass http://wss/websocket;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $connection_upgrade;
#默认情况下,如果代理服务器在60秒内未传输任何数据,则连接将关闭。可以使用proxy_read_timeout指令来增加此超时时间 。
proxy_read_timeout 90;
}
}
前端连接地址为:wss://wss.xxx.com/wss,即 “wss:// ${域名} ${localtion路径}”