如何在Nginx中配置SSL直连WebSocket

最新推荐文章于 2025-05-26 08:46:20 发布
最新推荐文章于 2025-05-26 08:46:20 发布
阅读量635 收藏 3
点赞数 8
CC 4.0 BY-SA版权
分类专栏: 安全 加固 等保 文章标签: nginx ssl websocket
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jjj_web/article/details/148115976

以下是在 Nginx 中配置 SSL 直连 WebSocket(WSS)的完整指南,涵盖证书配置、协议升级和性能优化,特别适配生产环境需求:

1. 核心配置模板

在 Nginx 配置文件中(如 /etc/nginx/sites-available/your-domain.conf),添加以下内容:

server {
    listen 443 ssl http2;
    server_name your-domain.com;

    # SSL 证书配置(必须)
    ssl_certificate /etc/letsencrypt/live/your-domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/your-domain.com/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
    ssl_prefer_server_ciphers on;

    # WebSocket SSL 直连配置
    location /wss {
        proxy_pass https://localhost:6002;  # 指向后端 WebSocket 服务的 HTTPS 端口
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_set_header Host $host;
        
        # SSL 证书双向验证(可选)
        proxy_ssl_certificate /path/to/client.crt;
        proxy_ssl_certificate_key /path/to/client.key;
        proxy_ssl_trusted_certificate /path/to/ca.crt;
        proxy_ssl_verify on;
        proxy_ssl_verify_depth 2;

        # 连接优化
        proxy_read_timeout 86400s;
        proxy_send_timeout 86400s;
        proxy_buffer_size 128k;
    }

    # 其他 HTTPS 路由
    location / {
        proxy_pass http://localhost:8000;
        proxy_set_header Host $host;
    }
}

2. 关键参数解析

参数作用必需
proxy_pass https://...代理到后端 HTTPS WebSocket 服务
proxy_http_version 1.1启用 HTTP/1.1 支持协议升级
Upgrade $http_upgrade协议升级为 WebSocket
Connection "upgrade"保持长连接
proxy_ssl_certificate客户端证书(双向验证时)
proxy_read_timeout防止空闲断开(建议 ≥86400s)

3. 后端 WebSocket 服务配置示例

Node.js + ws 库 为例,需启用 HTTPS 服务:

// server.js
const fs = require('fs');
const https = require('https');
const WebSocket = require('ws');

const server = https.createServer({
  cert: fs.readFileSync('/path/to/server.crt'),
  key: fs.readFileSync('/path/to/server.key'),
  ca: fs.readFileSync('/path/to/ca.crt')  // 可选:CA 证书
});

const wss = new WebSocket.Server({ server });

wss.on('connection', (ws) => {
  console.log('Client connected');
  ws.send('Welcome to WSS!');
});

server.listen(6002, () => {
  console.log('WSS server running on wss://localhost:6002');
});

4. 证书管理最佳实践

4.1 证书类型
  • 单向 SSL:仅客户端验证服务端(常用)
  • 双向 SSL:客户端和服务端互相验证(高安全场景)
4.2 Let’s Encrypt 自动续期
# 申请证书(如果尚未申请)
sudo certbot certonly --nginx -d your-domain.com

# 测试续期
sudo certbot renew --dry-run

5. 高级配置选项

5.1 负载均衡多个 WSS 节点
upstream wss_cluster {
    server ws1.example.com:6002;
    server ws2.example.com:6002;
    keepalive 64;  # 保持连接池
}

location /wss {
    proxy_pass https://wss_cluster;
    # ... 其他 WebSocket 参数 ...
}
5.2 安全加固
location /wss {
    # IP 白名单限制
    allow 192.168.1.0/24;
    allow 10.0.0.0/8;
    deny all;

    # 禁用缓存
    proxy_buffering off;
}

6. 测试与验证

6.1 使用 openssl 测试连接
openssl s_client -connect your-domain.com:443 -servername your-domain.com -status

检查输出是否包含:

TLSv1.3, Cipher: TLS_AES_256_GCM_SHA384
Extension: status_request
6.2 浏览器端测试
// 前端代码
const socket = new WebSocket('wss://your-domain.com/wss');
socket.onopen = () => console.log('WSS connected!');

7. 常见问题排查

问题 1:证书不信任
  • 现象:浏览器提示 NET::ERR_CERT_AUTHORITY_INVALID
  • 解决:确保证书链完整(包含中间证书)
问题 2:WebSocket 握手失败
  • 日志检查
    sudo tail -f /var/log/nginx/error.log | grep 'upgrade'
  • 可能原因:缺失 UpgradeConnection
问题 3:双向 SSL 验证失败
  • 调试命令
    curl -v --cert /path/to/client.crt --key /path/to/client.key https://your-domain.com/wss

8. 性能优化参数

# 在 http 块中添加
proxy_ssl_session_reuse on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 24h;

# 单个连接配置
location /wss {
    proxy_ssl_server_name on;
    proxy_ssl_protocols TLSv1.2 TLSv1.3;
    proxy_ssl_ciphers 'HIGH:!aNULL:!MD5';
}

9. 完整配置示例

Nginx + 双向 SSL 验证 + Laravel Echo Server

server {
    listen 443 ssl http2;
    server_name your-domain.com;

    ssl_certificate /etc/letsencrypt/live/your-domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/your-domain.com/privkey.pem;

    location /wss {
        proxy_pass https://localhost:6002;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        
        # 双向 SSL 验证
        proxy_ssl_certificate /etc/nginx/client.crt;
        proxy_ssl_certificate_key /etc/nginx/client.key;
        proxy_ssl_trusted_certificate /etc/nginx/ca.crt;
        proxy_ssl_verify on;

        # 安全头
        add_header Strict-Transport-Security "max-age=31536000";
    }
}

通过以上配置,你的 WebSocket 服务将获得:
端到端加密(SSL 直连)
高性能长连接(支持 HTTP/2 + TLS 1.3)
企业级安全(可选双向验证)
遇到问题时,优先检查 Nginx 错误日志后端 WebSocket 服务日志

nginx配置websocket
weixin_38353157的博客
07-23 398
websocket 最近因为项目需要做用户的单点登陆,经过一番考虑之后选择使用websocket来实现单点登录和实时的踢出。 1.其实前后端的功能实现还是比较简单,网上资料也很多,这里我就简单的贴点代码。 配置websocketconfig websocketController 前端 目前还未做兼容,后期会慢慢加,暂时只是功能的实现,本地测试了没问题,OK 重点来了,放到测试服辛酸之路开始...
创建 SSL证书并应用于WebSocket
rjcql的专栏
01-11 3802
​上一篇介绍如何使用Fleck创建WebSocket服务器,感觉不够完善,因为生产环境中肯定是需要用到ssl的,而创建或申请ssl证书,相对而言是比较繁琐的事情,特别是本地如果要构建一个使用ssl的测试环境时,就难免要多费一番周折了。 ​
从零实现wss通信示例(WebSocket SSL
最新发布
05-26 982
客户端和服务端代码框架跟上一篇一致,仅增加了ssl的证书部分用于加密通信,明文通信(ws协议)见上一篇。
关于Nginx配置SSL证书(Https)和WebSocket的wss
weixin_45623983的博客
01-05 2623
关于Nginx配置SSL证书(Https)和WebSocket的wss
nginx(六十八)proxy模块(八)nginx与上游的ssl握手
wzj_110的博客
11-27 4880
对上游使用证书(指定自身使用的证书)的SSL/TLS握手。nginx与后端选择。nginx作为客户端。④ 验证上游的证书。
nginxwebsocket配置
weixin_46406282的博客
11-09 1784
Nginx 支持websocket配置 server { listen 80; server_name 域名; location / { proxy_pass http://127.0.0.1:8080/; // 代理转发地址     proxy_http_version 1.1; proxy_read_timeout 3600s; // 超时设置 // 启用支持websocket连接 proxy_set_header Upgrade $http_upgrade; proxy_set_head
webSocket+nginx 频繁断开 问题处理
yaole3268582的博客
11-01 7766
前端使用的vue连接后端webSocket 后端一报这个错误java.io.EOFException java.io.EOFException at org.apache.tomcat.util.net.NioEndpoint$NioSocketWrapper.fillReadBuffer(NioEndpoint.java:1231) at org.apache.tomcat.util.net.NioEndpoint$NioSocketWrapper.read(NioEndpoin...
解锁Spring Cloud Gateway与Nginx最強配置,构建未来网络高速公路!(下)
码趣阿佑
05-03 1815
拥抱未来,从这里开始!掌握Nginx与Spring Cloud Gateway两大网关巨头的高级配置,不仅仅是配置文件的堆砌,而是深入安全认证、负载均衡与性能调优的实战演练。每一个章节都是一把钥匙,助你打开性能优化与安全保障的新大门,让每一次请求都快如闪电,固若金汤!
学习笔记 -- Nginx(持续更新中)
mocoll的博客
01-16 882
Nginx是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAPPOP3SMTP服务。它是由伊戈尔·赛索耶夫为俄罗斯访问量第二的Rambler.ru站点开发的,其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、简单的配置文件和低系统资源的消耗而闻名。
Nginx网站服务
A6985HG的博客
08-10 1132
是一个高性能的HTTP和反向代理服务器。Nginx是由为俄罗斯访问点开量第二的Rambler.ru站发的,第一个公开版本0.1.0发布于2004年10月4日。其将源 代码以类 BSD许可证的形式发布,因它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而 闻 名。2011 年6月1日,发布。Nginx是一款轻量级的Web服务器反向代理服务器及电子邮件(IMAP/POP3)代理服务器,单台物理服务器可支持30 00050 000。
Nginx监控不再难:简化部署流程,提升监控效率
crossoverJie专栏
07-24 1084
前段时间接到一个需求,希望可以监控 Nginx 的运行状态。我们都知道 Nginx 作为一个流行的 Web 服务器提供了多种能力,包括反向代理、负载均衡;也支持了许多协议,包括:gRPChttpWebSocket 等 作为一个流量入口的中间件,对其的监控就显得至关重要了。市面上也有一些现成的产品可以监控 Nginx,比如知名的监控服务商 datadog 也提供了 Nginx 的监控。但是我这是一个...
Nginx配置带证书代理https
虫虫的博客
05-24 1648
nginx.conf同级目录下创建文件夹ssl,用来放置证书,把访问对方需要的证书上传到ssl文件夹下,若证书是pem或cer在nginx.conf加上证书即可;然后重新启动nginx,即可通过访问此台服务器/xxx路由访问到https://xxx.com上。
nginx:对上下游使用SSL连接
error311的博客
06-27 3624
对下游使用证书 1.ssl_certificate 指令 语法:ssl_certificate file; 默认:空 放置位置:http,server 2.ssl_certificate_key 指令 语法:ssl_certificate_key file; 默认:空 放置位置:http,server 验证下游证书 1.ssl_verify_client 指令 语法:ssl_verify_client on | off | ...
HTTPS环境下使用WebSocket问题解决
qq_43038960的博客
01-15 4029
所以,如果你的网站是 HTTPS 协议的,那你就不能使用 ws:// 了,浏览器会 block 掉连接,和 HTTPS 下不允许 HTTP 请求一样。使用WebSocket在本地是没有问题的,能够和前端进行正常交互,但是将项目部署到服务器上,发现和前端建立不了WebSocket的连接,打开浏览器控制台报错:This request has been blocked;(4)、Workerman给客户端发送消息时,则是相反的过程,数据经过nginx/转换成wss协议然后发给客户端。3、关于 ws 和 wss。
netty/websocket服务器配置阿里云SSL证书安全访问配置,亲测有效
yaya_jn的博客
04-27 3962
配置完了,发现ws不能使用了,还在研究,各位大神有办法,可以留言,互相学习。下面是下载的别人的案例,然后改了下我的案例,可以做下参考。3、因为netty仅仅支持pkcs8,所以将server.key 通过OpenSSl 生成pkcs8的版本。2、下载类型Tomcat的pfx 证书,在jdk的路径下cmd命令生成server.key文件。将证书放到外面,方便后期更换,毕竟免费的证书是一年一申请的,用InputStream读取。1、启动的start方法,增加server8.key和pem文件的读取。
配置nginx 反向代理
warriorblazer36的博客
06-29 556
#user nobody; worker_processes 4; #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid logs/nginx.pid; events { worker_connections 40960; } http { include mime.types; default_ty..
4.WebSocket 配置Nginx 的完美结合
Hi_alan的博客
11-02 7822
在现代 web 应用中,WebSocket 作为一种全双工通信协议,为实时数据传输提供了强大的支持。若要确保 WebSocket 在生产环境中的稳定性和性能,使用 Nginx 作为反向代理服务器是一个明智的选择。本篇文章将带你了解如何在 Nginx配置 WebSocket,并验证其是否正常工作。
Nginx 如何处理 WebSocket 连接?
技术笔记
07-22 6695
WebSocket 是一种在单个 TCP 连接上进行全双工通信的协议。与传统的 HTTP 请求/响应模式不同,WebSocket 连接一旦建立,客户端和服务器之间就可以随时相互发送数据,无需再像 HTTP 那样每次都重新建立连接。这就好比是从写信交流变成了打电话交流,实时性大大提高。想象一下,你和朋友在玩一个需要紧密配合的游戏,每次通过 HTTP 就像是你要先给朋友写信告诉他你的操作,然后等他回信告诉你他的操作,这中间的等待时间可能会让游戏变得索然无味。
怎么通过nginx代理mqtt
04-01
<think>嗯,用户问的是如何用Nginx配置MQTT代理。首先,我需要回忆一下Nginx和MQTT的相关知识。MQTT是基于TCP的协议,通常使用1883端口,而WebSocket则可能用8083或者443(如果是WSS)。Nginx作为反向代理,可以处理这些连接。 记得用户提供的引用中有几个配置示例,比如引用2里的mqtt_ws.conf配置了HTTP升级头部,这对WebSocket支持很重要。因为WebSocket连接需要Upgrade和Connection头,所以Nginx必须正确设置这些。还有引用5提到了TLS配置,用SSL证书加密MQTT流量,这样更安全。 然后,用户可能需要不同的场景配置,比如普通TCP代理、WebSocket或者加密的WSS。我需要分别说明这些情况。比如,TCP代理需要Nginx的stream模块,而HTTP层面的代理需要http模块。同时,配置SSL的话,需要指定证书路径和协议版本。 另外,要注意的是Nginx默认可能没有启用stream模块,需要编译时加上--with-stream参数。这点用户可能不知道,所以需要提醒。还有,配置完成后要检查语法并重启服务,这部分操作步骤也要写清楚。 可能用户会遇到的问题包括配置错误导致连接不上,或者证书路径不正确。所以需要强调路径的正确性和权限问题。此外,性能调优参数如proxy_timeout和buffer大小也很重要,特别是处理大量连接时。 最后,生成的相关问题要围绕用户可能进一步的需求,比如内外网通信、性能优化、TLS配置细节等。这些可以帮助用户深入了解更多相关内容。</think>### 如何配置Nginx代理MQTT流量 #### 一、基础配置原理 MQTT协议支持TCP和WebSocket两种传输方式,Nginx可通过以下两种模式实现代理: 1. **TCP层代理**:使用`stream`模块接代理MQTT的TCP端口(默认1883) 2. **应用层代理**:通过WebSocket协议代理MQTT over WebSocket(常用端口8083/8084) #### 二、具体配置步骤 ##### 1. TCP层代理配置(普通MQTT) ```nginx # 在nginx.conf的stream块中添加 stream { upstream mqtt_backend { server 192.168.1.100:1883; # 目标MQTT服务器地址 } server { listen 1883; proxy_pass mqtt_backend; proxy_connect_timeout 150s; proxy_timeout 2h; # 保持长连接 proxy_buffer_size 3M; # 调整缓冲区大小[^5] } } ``` *适用场景*:物联网设备连代理 ##### 2. WebSocket代理配置 ```nginx http { map $http_upgrade $connection_upgrade { default upgrade; '' close; } upstream mqtt_ws { server 10.0.0.2:8083; # MQTT over WebSocket服务地址 } server { listen 80; server_name mqtt.example.com; location / { proxy_pass http://mqtt_ws; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection $connection_upgrade; # 必须的WebSocket升级头[^2] proxy_read_timeout 1d; # 保持持久连接 } } } ``` *典型应用*:浏览器通过JavaScript连接MQTT ##### 3. TLS加密配置 ```nginx server { listen 8883 ssl; # SSL加密端口 ssl_certificate /etc/nginx/certs/server.crt; ssl_certificate_key /etc/nginx/certs/server.key; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers HIGH:!aNULL:!MD5; proxy_pass mqtt_backend; proxy_connect_timeout 150s; proxy_buffer_size 3M; # 建议根据消息大小调整 } ``` *注意*:证书路径需要与实际部署位置一致 #### 三、关键配置说明 1. **连接保持**:MQTT需要长连接,需设置`proxy_timeout 2h` 2. **WebSocket支持**:必须配置`Upgrade`和`Connection`头实现协议升级[^3] 3. **性能优化**: - `proxy_buffer_size`根据消息负载调整 - 使用`least_conn`负载均衡策略应对高并发 #### 四、验证与调试 1. 检查配置语法: ```bash nginx -t ``` 2. 查看连接状态: ```bash netstat -ant | grep 1883 ``` 3. 抓包验证: ```bash tcpdump -i eth0 port 1883 -w mqtt.pcap ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值