【配置】使用nginx反向代理加密websocket (wss)

对于普通的websocket(非加密)服务器端直接处理就可以,可以用Go或者Nodejs等等做服务端。对于加密的,那么服务端需要配置证书。

那么如果你想省掉服务端的改动,其实也可以在代理层做一些工作,让nginx来处理SSL部分,然后通过upstream使用普通的ws协议即可。

这样的好处就是可以让服务端更轻松,还有一点就是可以利用nginx的负载均衡来分配多个后端服务实体。

具体配置方法:

在nginx配置文件里面新增server配置:

upstream wss_svr {
server 127.0.0.1:9999 weight=1;  #这里可以是多个服务端IP(分多行),设置权重就可以实现负载均衡了
}

server {
listen 443;
server_name test.xxxx.com;

access_log logs/test.xxxx.log main;

ssl on;
ssl_certificate /etc/test.xxxx.com.cer;  # 这里是服务端的证书路径
ssl_certificate_key /etc/test.xxxx.com.key; # 这里是秘钥路径
ssl_session_timeout 5m;
ssl_session_cache shared:SSL:10m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 SSLv2 SSLv3;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;
ssl_verify_client off;

location / {
proxy_redirect off;
proxy_pass http://wss_svr;
proxy_set_header Host $host;
proxy_set_header X-Real_IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr:$remote_port;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection “upgrade”;
}

}

把证书和秘钥放置好之后,就可以用 nginx -s reload来重新加载配置文件,一切准备就绪。

测试,按照你预先设定好的服务端请求地址new websocket连接即可。例如  wss://test.xxxx.com/

你可能感兴趣的:(linux,ssl,nginx,websocket)