WebSocket的SSL认证失败问题记录

最新推荐文章于 2024-07-12 17:13:05 发布
最新推荐文章于 2024-07-12 17:13:05 发布
阅读量6.6k 收藏
点赞数
文章标签: 网络 运维 php
原文链接:https://juejin.im/post/5b5dbf2ae51d45190f4adbc5
版权

一、问题背景

线上服务器程序使用的是swoole框架,由主进程直接监听8008端口,然后在使用过程中概率性会出现连接失败的情况,观察报错主要为

WebSocket connection to 'wss://XXX:8008/' failed: Error in connection establishment: net::ERR_SSL_PROTOCOL_ERROR

二、排查原因

在网上查找资料的过程中也看到了类似问题的出现原因,然后进行排查,特记录下大概率的原因,以供参考。

1.SSL证书问题(由于是概率性出现的所以暂时排除这个原因)
2.swoole是否开启了openssl,使用SSL必须在编译swoole时加入--enable-openssl选项(在服务器上执行命令php --ri swoole,即可查看是否编译进去,验证已编译故排除)
3.更改完配置需要重启程序(看到有些人在处理的时候没有进行重启故一直不生效,需注意)
4.程序和nginx同时监听一个端口(服务器没这种情况,故排除)
5.socket程序未启动(出现问题时观察了下进程,程序在正常运行,故排除)

三、解决方案

通过第二点的描述可以发现并没有找到实质的原因,但是看到网上比较常见的做法是用nginx转发到其他端口,问了下公司其他相关服务也是使用类似处理方案,所以为了线上业务的稳定,果断采用!

在nginx配置中增加了对8008端口的监听,然后代理转发到8088端口,swoole程序中改为监听8088端口,杀掉swoole程序(不杀的话因为8008端口被占用,nginx重启会失败),重启nginx,重启swoole程序,线上验证,大功告成。

server {
    listen 8008;
    ssl on;
    ssl_certificate      ssl.cer;
    ssl_certificate_key  ssl.key;
    location / {
    proxy_pass https://127.0.0.1:8088;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_read_timeout 600;
    proxy_set_header Host $host;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
    }
}
复制代码

四、nginx配置详解

留坑,待更新

五、真正原因探查

目前来讲,这个问题并没有解决,只是从旁边绕过去了,但是真正的原因还是要努力的查查看的......

1.在swoole官网上看到有关证书的内容,说是证书格式必须为PEM,不支持DER格式的,线上服务器之前程序是使用的DER格式的,(按理说如果是证书有问题要么一直正常要么一直失败,不应该出现概率性失败的情况),所以是否由于证书为DER格式导致概率失败可作为一个探查方向。

weixin_34138255
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot为WebSocket添加安全认证与授权功能
禅与计算机程序设计艺术
07-29 2574
19年初,Spring 推出了 Spring Websocket 技术,这是一种基于WebSocket协议的消息通信框架,用于快速开发WebSocket API。在实际应用中,WebSocket 可以很好的降低服务器负载、节省带宽资源并提供实时数据传输。但是,由于WebSocket本身没有身份验证机制、没有授权机制,使得其很容易受到攻击或泄漏敏感信息,因此需要引入安全认证与授权机制来保障WebSocket应用的完整性。Spring Boot为WebSocket添加安全认证与授权功能提供了开箱即用的解决方案。
Websocket】基于SSLWebsocket局域网聊天管理系统
03-17 979
传统上在客户端在访问服务器时,对客户端的验证采用账号密码的方式,存在着比较大的安全隐患:一方面账号密码有可能泄漏和被破解,一旦账号密码泄漏,那么就可以通过任意客户端访问服务器,导致信息和数据被盗取;局域网的计算机网络联系的地区范围通常不大,例如说在一座办公大楼中,一个工矿企业的一群建筑物和现场中,或者一所大学的中,其范围在几公里或十几公里以内。Vue是一套用于构建用户界面的渐进式框架,自底层向上应用,Vue的核心库只关注视图层,容易入门,可以和第三方库或者已有的项目进行整合,可以做复杂的单页应用。
websocket连接wss报net::ERR_SSL_PROTOCOL_Error
weixin_43900374的博客
12-08 6427
因为添加了ssl证书,所以websocket连接的协议也要从ws变为wss(ws+ssl) 即ws:127.0.0.1/xxx 改成wss:127.0.0.1/xxx 但改完之后报了个错误: net::ERR_SSL_PROTOCOL_Error 解决办法: 在nginx配置文件nginx.conf上编辑: server { #SSL 访问端口号为 443 listen 443 ssl; #填写绑定证书的域名 server_name xxx;
cocos android 连不上websocket 报错ssl错误
qixiang2013的专栏
03-22 899
搞了2个多小时总算搞定了: 注意:(证书在百度上有在线转换,可以把你当前的证书转换成pem格式的,然后走下面的教程) 【然后我们开始第一大步骤 导出一个base64的cer证书】 根据网站xxx.pem获取安卓websocket所需的根证书的方法 第一步,打开window操作系统 (mac下面不知道怎么导出证书) 第二部, 将网站证书xxxx.pem更名为xxx.cer 第三部, 双击xxx.cer 选择[证书路径]选项卡 鼠标点击下方证书树的根节点 鼠标点击下方查看证书按钮 点击[证书详.
保证 WebSocket 连接之前的身份验证过程的安全性
Chihirozy的博客
07-12 607
以下是一些保证在 WebSocket 连接之前的身份验证过程安全性的方法:ws://wss://wss://wshttpswsscryptowss://
增加了ssl证书后websocket连接失败
a123123sdf的博客
05-16 1848
增加了ssl证书后websocket连接失败
websocket使用ssl 证书,开启加密服务
weixin_30782331的博客
03-30 1536
参考文章:https://fzambia.gitbooks.io/centrifugal/content/deploy/certificates.html TLS certificates TLS/SSL layer is very important not only for securing your connections but also to increase a chance...
HTTPS站点使用WebSocket的常见错误及解决方案
qq_38188762的博客
01-15 4382
因为HTTPS是基于SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密,所以在HTTPS站点调用某些非SSL验证的资源时浏览器可能会阻止。比如使用ws://***调用websocket服务器或者引入类似http://***.js的js文件等都会报错。这里简述一下连接websocket服务器时的错误及解决方案。当使用ws://连接websocket服务器时会出现类似如下错误: Mi...
Qt实现的SSL通信客户端和服务器
06-24
SSL协议包含握手协议、记录协议、密钥交换协议等多个子协议,其中握手协议用于建立安全连接,记录协议则处理实际的数据传输。 在Qt中,实现SSL通信主要依赖于`QTcpSocket`和`QSslSocket`类。`QTcpSocket`是基础的...
websocket附件表情V 2.0
05-21
错误处理则需要对各种可能出现的问题如连接断开、消息发送失败等进行妥善处理。 7. **安全性与性能优化** 为了保障安全,WebSocket连接需要进行SSL/TLS加密,防止数据在传输过程中被窃取。此外,服务器端需要限制...
解决QT5.13 qt.network.ssl: QSslSocket::connectToHostEncrypted: TLS initialization failed 问题
hyxlfd的专栏
10-27 1577
网上查了很多方法,大部分都是拷贝libeay32.dll 和 ssleay32.dll 文件,然后并没有什么卵用。 查阅各种资料,终于解决了。 解决方法如下: 1、根据自己的编译环境,下载相应openssl1.1.1版本,可以去http://slproweb.com/products/Win32OpenSSL.html下载 下面这个链接是64bit: 链接:https://pan.bai...
WebSocket 连接失败的原因及解决方法
LiamHong_的博客
06-25 6119
目前已经成为了一项极为重要的技术,其允许客户端和服务器之间进行实时、全双工的通信。然而,在实际项目中,开发者时常会遇到 WebSocket 连接失败的情况。这不仅影响了用户体验,还可能导致不可预见的系统错误或数据丢失。那么,造成 WebSocket 连接失败的原因有哪些?又该如何解决这些问题呢?本文将逐一分析常见的 WebSocket 连接失败原因,并提供详细的解决方案。
wss连接---Error in connection establishment: net::ERR_SSL_PROTOCOL_ERROR
热门推荐
红尘炼炼心的博客
04-01 4万+
wss协议实际是websocket+SSL,就是在websocket协议上加入SSL层,类似https(http+SSL)。 利用nginx代理wss 通讯原理及流程是: 1、客户端发起wss连接连到nginx 2、nginx将wss协议的数据转换成ws协议数据并转发到Workerman的websocket协议端口 3、Workerman收到数据后做业务逻辑处理 4、Workerma...
详解网站提示err ssl protocol error
点点关注不迷路
12-02 1万+
详解网站提示err ssl protocol error
Workerman爬坑
weixin_43933091的博客
06-02 805
Workerman爬坑 Workerman在本地window运行没有问题,但是放到Linux服务器上面时,一直报错…… 问题1:failed: Error during WebSocket handshake: Unexpected response code: 404 我这里的原因是服务器的端口没有打开。 1、开放端口 firewall-cmd --zone=public --add-port=5672/tcp --permanent # 开放5672端口 firewall-cmd --zone=pu
ESP8266使用期间各种问题汇总
m0_59249795的博客
05-04 3936
Shell 脚本一键安装 (Linux) emqx curl https://repos.emqx.io/install_emqx.sh |bash emqx start #云服务器使用的是MQTT协议 如果连接某一个端口连不上,可能是这个端口正在被占用,可以尝试连接其他端口 网络的端口只是供连接用,所有的端口都是发送向同一个网址,订阅也是通用的 我之前一直连不上8084端口,但是可以连接其他端口 弹性公网:18083 dashboard 的控制端口 (要先在服务器上开通安全组端口18083) 使用esp
解决transport=websocket‘ failed: Error in connection establishment: net::ERR_CONNECTION_REFUSED
牛肉胡辣汤
11-08 2273
WebSocket是一种全双工通信协议,它允许通过单个长久的TCP连接在客户端和服务器之间进行实时双向通信。相比传统的HTTP请求-响应模式,WebSocket具有低延迟、高效率和实时性的优势,适用于需要实时交换数据的应用场景。本文将详细介绍WebSocket的特点、工作原理、应用场景等。
transport=websocket‘ failed: Error in connection establishment: net::ERR_CONNECTION_REFUSED
牛肉胡辣汤
11-14 633
WebSocket是一种在Web应用中实现实时双向通信的技术。它提供了一种在浏览器与服务器之间建立持久连接的方式,使得服务器能够主动向客户端推送数据,而不需要客户端不断发送请求。WebSocket通过建立一条全双工的通信通道,使得服务器和客户端可以直接进行双向交流。这与传统的HTTP请求-响应模式不同,不再需要客户端不停地发送请求来获取最新的数据。WebSocket的实时、高效、低延迟的特点,使得它在实时消息传递、实时数据推送等场景中得到广泛应用。
Springboot配置websocket ssl双向认证
最新发布
07-13
Spring Boot 配置WebSocket SSL双向认证通常涉及到以下几个步骤: 1. **添加依赖**:首先,在`pom.xml`或`build.gradle`文件中添加WebSocket相关的Spring Websocket依赖,以及支持SSL/TLS的Spring Security依赖。 ```xml <!-- Maven --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-websocket</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- Gradle (Kotlin) --> implementation("org.springframework.boot:spring-boot-starter-websocket") implementation("org.springframework.boot:spring-boot-starter-security") ``` 2. **创建SSL证书**:生成一对公钥私钥对,比如使用`keytool`工具。在命令行运行类似下面的命令: ```sh keytool -genkey -alias server-cert -keyalg RSA -keystore keystore.jks -storepass password -keypass password ``` 3. **配置服务器端点**:在`Application.java`或其他启动类里,启用WebSocket并设置HTTPS监听: ```java @Configuration @EnableWebSockets public class WebSocketConfig extends AbstractWebSocketMessageBrokerConfigurer { @Override public void configureMessageBroker(MessageBrokerRegistry config) { // ... } @Override public void registerStompEndpoints(StompEndpointRegistry registry) { registry.addEndpoint("/websocket").withSockJS(); } @Bean public ServletServerContainerFactoryBean createWebSocketContainer() { ServletServerContainer container = new StandardServletWebSocketContainer(); container.setSecure(true); // 使用HTTPS // 如果需要SSLEngine设置,请在这里配置 return container; } } ``` 4. **配置Spring Security**:在`SecurityConfig`类中,启用WebSocket安全,并指定客户端证书验证: ```java @Configuration @EnableWebSecurity @EnableWebsocketAuthentication public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private CertificateAuthenticationProvider certificateAuthProvider; @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/ws/**").authenticated() .anyRequest().permitAll(); // 可能需要根据实际需求调整 http.certificateBasedAuthentication() .authenticationManager(authenticationManager()) .and() .apply(securityConfigurerAdapter); } @Bean public AuthenticationManager authenticationManagerBean() throws Exception { return new DefaultWebSecurityConfigurerAdapter().authenticationManager(); } @Override protected void configure(WebSocketSecurity web) throws Exception { web.authorizeRequests() .anyMessage().authenticated() .and() .addCustomizer(new WebSocketSessionManagementExtensionAdapter(certificateAuthProvider)); } } ``` 5. **提供证书**:将生成的keystore文件放在应用目录下,并在`application.properties`或`application.yml`中指定路径: ```properties server.ssl.key-store=classpath:keystore.jks server.ssl.key-store-password=password server.ssl.trust-store=classpath:truststore.jks server.ssl.trust-store-password=password ``` 6. **启动应用并测试**:启动Spring Boot应用,客户端连接到HTTPS地址,并提供正确的证书进行验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值