創建 wss 服務

問:

Workerman 如何創建一個 wss 服務,使得客戶端可以透過 wss 協議來連接通訊,比如在微信小程序中連接服務端。

答:

wss 協議實際上是 websocket + SSL,就是在 websocket 協議上加入 SSL 層,類似 https (http + SSL)。
所以只需要在 websocket 協議的基礎上開啟 SSL 即可支持 wss 協議。

方法一、利用 nginx/apache 代理 SSL(推薦)

推薦理由

  • 可以重用 443 端口,客戶端連接時不必指定端口
  • 集中管理 SSL 憑證,可以重用網站配置
  • 可以負載均衡
  • 自帶日誌監控
  • 更好的相容性

通訊原理及流程

  1. 客戶端發起 wss 連接連到 nginx/apache
  2. nginx/apache 將 wss 協議的數據轉換成 ws 協議數據並轉發到 Workerman 的 websocket 協議端口
  3. Workerman 收到數據後做業務邏輯處理
  4. Workerman 給客戶端發送消息時,則是相反的過程,數據經過 nginx/apache 轉換成 wss 協議然後發給客戶端

nginx 配置參考

前提條件及準備工作:

  1. 已經安裝 nginx,版本不低於 1.3
  2. 假設 Workerman 監聽的是 8282 端口(websocket 協議)
  3. 已經申請了憑證(pem/crt 文件及 key 文件)假設放在了 /etc/nginx/conf.d/ssl
  4. 打算利用 nginx 開啟 443 端口對外提供 wss 代理服務(端口可以根據需要修改)
  5. nginx 通常作為網站伺服器運行著其他服務,為了不影響原來的站點使用,這裡使用地址 域名.com/wss 作為 wss 的代理入口。也就是客戶端連接地址為 wss://域名.com/wss

nginx 配置類似如下

server {
  listen 443;
  # 域名配置省略...

  ssl on;
  ssl_certificate /etc/ssl/server.pem;
  ssl_certificate_key /etc/ssl/server.key;
  ssl_session_timeout 5m;
  ssl_session_cache shared:SSL:50m;
  ssl_protocols SSLv3 SSLv2 TLSv1 TLSv1.1 TLSv1.2;
  ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;

  location /wss
  {
    proxy_pass http://127.0.0.1:8282;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "Upgrade";
    proxy_set_header X-Real-IP $remote_addr;
  }

  # location / {} 站點的其他配置...
}

測試

// 憑證是會檢查域名的,請使用域名連接。注意這裡不寫端口
ws = new WebSocket("wss://域名.com/wss");

ws.onopen = function() {
    alert("連接成功");
    ws.send('tom');
    alert("給服務端發送一個字符串:tom");
};
ws.onmessage = function(e) {
    alert("收到服務端的消息:" + e.data);
};

利用 apache 代理 wss

也可以利用 apache 作為 wss 代理轉發給 Workerman。

準備工作:

  1. GatewayWorker 監聽 8282 端口(websocket 協議)
  2. 已經申請了 ssl 憑證,假設放在了 /server/httpd/cert/
  3. 利用 apache 轉發 443 端口至指定端口 8282
  4. httpd-ssl.conf 已加載
  5. openssl 已安裝

啟用 proxy_wstunnel_module 模塊

LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_wstunnel_module modules/mod_proxy_wstunnel.so

配置 SSL 及代理

# extra/httpd-ssl.conf
DocumentRoot "/網站/目錄"
ServerName 域名

# Proxy Config
SSLProxyEngine on

ProxyRequests Off
ProxyPass /wss ws://127.0.0.1:8282/wss
ProxyPassReverse /wss ws://127.0.0.1:8282/wss

# 添加 SSL 協議支持協議,去掉不安全的協議
SSLProtocol all -SSLv2 -SSLv3
# 修改加密套件如下
SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM
SSLHonorCipherOrder on
# 憑證公鑰配置
SSLCertificateFile /server/httpd/cert/your.pem
# 憑證私鑰配置
SSLCertificateKeyFile /server/httpd/cert/your.key
# 憑證鏈配置,
SSLCertificateChainFile /server/httpd/cert/chain.pem

測試

// 憑證是會檢查域名的,請使用域名連接。注意沒有端口
ws = new WebSocket("wss://域名.com/wss");

ws.onopen = function() {
    alert("連接成功");
    ws.send('tom');
    alert("給服務端發送一個字符串:tom");
};
ws.onmessage = function(e) {
    alert("收到服務端的消息:" + e.data);
};

方法二,直接用 Workerman 開啟 SSL(不推薦)

注意
nginx/apache 代理 SSL 和 Workerman 設置 SSL 二選一,不能同時開啟。

準備工作:

  1. Workerman 版本 >= 3.3.7
  2. PHP 安裝了 openssl 擴展
  3. 已經申請了憑證(pem/crt 文件及 key 文件)放在磁碟任意目錄

代碼:

<?php
use Workerman\Worker;
use Workerman\Connection\TcpConnection;
require_once __DIR__ . '/vendor/autoload.php';

// 憑證最好是申請的憑證
$context = array(
    // 更多 ssl 選項請參考手冊 http://php.net/manual/zh/context.ssl.php
    'ssl' => array(
        // 請使用絕對路徑
        'local_cert'        => '磁碟路徑/server.pem', // 也可以是 crt 文件
        'local_pk'          => '磁碟路徑/server.key',
        'verify_peer'       => false,
        'allow_self_signed' => true, // 如果是自簽名憑證需要開啟此選項
    )
);
// 這裡設置的是 websocket 協議(端口任意,但是需要保證沒被其他程序佔用)
$worker = new Worker('websocket://0.0.0.0:8282', $context);
// 設置 transport 開啟 ssl,websocket+ssl 即 wss
$worker->transport = 'ssl';
$worker->onMessage = function(TcpConnection $con, $msg) {
    $con->send('ok');
};

Worker::runAll();

通過以上的代碼,Workerman 就監聽了 wss 協議,客戶端就可以通過 wss 協議來連接 Workerman 實現安全即時通訊了。

測試

打開 chrome 瀏覽器,按 F12 打開調試控制台,在 Console 一欄輸入(或者把下面代碼放入到 html 頁面用 js 運行)

// 憑證是會檢查域名的,請使用域名連接,注意這裡有端口號
ws = new WebSocket("wss://域名.com:8282");
ws.onopen = function() {
    alert("連接成功");
    ws.send('tom');
    alert("給服務端發送一個字符串:tom");
};
ws.onmessage = function(e) {
    alert("收到服務端的消息:" + e.data);
};

常見錯誤
SSL routines:SSL23_GET_CLIENT_HELLO:http request
原因是客戶端使用 ws://域名.com 來訪問導致的,正確的訪問地址應該是 wss://域名.com,即以 wss 開頭訪問。
出現這個問題大部分場景是端口原本是 ws 的,突然改成 wss 後有些客戶端頁面沒刷新,仍然以 ws 方式訪問,導致錯誤。
這個錯誤可以忽略,不影響正常 wss 的連接。

注意:

  1. 如果必須使用 443 端口請使用上面第一種方案 nginx/apache 代理方式實現 wss。
  2. wss 端口只能通過 wss 協議訪問,ws 無法訪問 wss 端口。
  3. 憑證一般是與域名綁定的,所以測試的時候客戶端請使用域名連接,不要使用 ip 去連。
  4. 如果出現無法訪問的情況,請檢查伺服器防火牆。
  5. 此方法要求 PHP 版本 >= 5.6,因為微信小程序要求 tls1.2,而 PHP5.6 以下版本不支持 tls1.2。

相關文章:
透過代理獲取客戶端真實 ip
workerman 的 ssl 上下文選項參考