22

我有一个只能通过 HTTPS 访问的 Apache。我想从在同一台机器上运行的其他服务器应用程序提供 websockets,但由于客户端无法通过 443 以外的其他端口连接到我们的服务器,因此这些 websocket 连接需要通过 Apache 代理。

现在,我已经安装了 mod_proxy 并配置如下:

SSLProxyEngine on
ProxyPass /ws https://127.0.0.1:9001

但是,这不起作用。我现在可以在浏览器中连接到https://server/ws,但是 apache 似乎吞下了部分 websockets 标头,因此真正的 websocket 连接不起作用。

如何通过 Apache 服务器完成我的 websocket 连接隧道?

4

2 回答 2

29

我已经让它工作了。

设想

-------------       ----------------       ----------
| Browser   |<----->| Apache httpd |<----->| Tomcat |
|           |  SSL  |    2.4.9     |  SSL  | 7.0.52 |
-------------       ----------------       ----------

通过 Apache httpd 的浏览器 WebSocket,反向代理到 Tomcat 中的 Web 应用程序。所有 SSL 从前到后。

以下是每个部分的配置:

浏览器客户端

请注意 url: 中的尾随“/” wss://host/app/ws/。必须匹配正确的 wss ProxyPass 指令(在 Apache 配置部分进一步显示)并防止 301 重定向到https://host/app/ws. 也就是说,它使用 https 方案而不是后端的 wss 方案进行重定向。

测试页 
<!doctype html>
<body>

<script type="text/javascript">
    var connection = new WebSocket("wss://host/app/ws/");

    connection.onopen = function () {
        console.log("connected");
    };

    connection.onclose = function () {
        console.log("onclose");
    };

    connection.onerror = function (error) {
        console.log(error);
    };
</script>

</body>
</html>

阿帕奇 httpd

我正在使用 Apache httpd 2.4.9,它开箱即用地提供了mod_proxy_wstunnel。但是,使用 wss:// 方案时,提供的mod_proxy_wstunnel.so不支持 SSL。它最终尝试以纯文本形式连接到后端(Tomcat),这导致 SSL 握手失败。请参阅此处的错误。因此,您必须按照错误报告中建议的更正自行修补mod_proxy_wstunnel.c 。这是一个简单的 3 行更改。 

Suggested correction,
314a315
>     int is_ssl = 0;
320a322
>         is_ssl = 1;
344c346
<     backend->is_ssl = 0;
---
>     backend->is_ssl = is_ssl;

然后重建模块并用旧的 mod_proxy_wstunnel.so 替换新的mod_proxy_wstunnel.so

构建 Apache httpd

这是我用来在我想要的模块中构建的 (2.4.9) 命令。您可能不需要全部。

./configure --prefix=/usr/local/apache --with-included-apr --enable-alias=shared
--enable-authz_host=shared --enable-authz_user=shared 
--enable-deflate=shared --enable-negotiation=shared 
--enable-proxy=shared --enable-ssl=shared --enable-reqtimeout=shared
--enable-status=shared --enable-auth_basic=shared
--enable-dir=shared --enable-authn_file=shared
--enable-autoindex=shared --enable-env=shared --enable-php5=shared
--enable-authz_default=shared --enable-cgi=shared
--enable-setenvif=shared --enable-authz_groupfile=shared
--enable-mime=shared --enable-proxy_http=shared
--enable-proxy_wstunnel=shared

请注意最后一个开关:--enable-proxy_wstunnel=shared 起初,我错误地使用--enable-proxy-wstunnel=shared了 .so 文件,这似乎构建得很好,但当我使用生成的 .so 文件时最终无法正常工作。看到不同?您要确保在中使用下划线"proxy_wstunnel"而不是破折号。

Apache httpd 配置

httpd.conf 
...
LoadModule proxy_module modules/mod_proxy.so
...
LoadModule proxy_wstunnel_module modules/mod_proxy_wstunnel.so
...
LoadModule ssl_module modules/mod_ssl.so
...
Include conf/extra/httpd-ssl.conf
...
LogLevel debug
ProxyRequests off

# Note, this is the preferred ProxyPass configuration, and *should* be equivalent
# to the same inline version below, but it does NOT WORK!
#<Location /app/ws/>
#        ProxyPass wss://localhost:8443/app/ws
#        ProxyPassReverse wss://localhost:8443/app/ws
#</Location>
#<Location /app/>
#        ProxyPass https://localhost:8443/app/
#        ProxyPassReverse https://localhost:8443/app/
#</Location>

# NOTE: Pay strict attention to the slashes "/" or lack thereof!
# WebSocket url endpoint
ProxyPass /app/ws/ wss://localhost:8443/app/ws
ProxyPassReverse /app/ws/ wss://localhost:8443/app/ws

# Everything else
ProxyPass /app/ https://localhost:8443/app/
ProxyPassReverse /app/ https://localhost:8443/app/

如果您在上面的配置中没有看到我的注释,这里又是:请严格注意斜杠“/”或缺少斜杠!

此外,如果您在 apache 日志中看到调试日志语句说 wss 连接已建立然后关闭,那么您可能像我一样启用了 mod_reqtimeout,因此请确保未加载它:

#LoadModule reqtimeout_module modules/mod_reqtimeout.so

雄猫

假设您的 HTTP 连接器设置正确,则在 tomcat 中无需配置太多。尽管为了帮助调试,我发现创建一个如下所示的内容很有用$CATALINA_HOME/bin/setenv.sh

设置环境文件 
CATALINA_OPTS=$CATALINA_OPTS" -Djavax.net.debug=all -Djavax.net.debug=ssl:handshake:verbose"

这让我可以查看我修改的 mod_proxy_wstunnel.so 是否适用于 wss://。当它不工作时,我的 catalina.out 日志文件会显示:

javax.net.ssl.SSLException: Unrecognized SSL message, plaintext connection?
http-nio-8443-exec-1, SEND TLSv1 ALERT:  fatal, description = internal_error
http-nio-8443-exec-1, WRITE: TLSv1 Alert, length = 2
http-nio-8443-exec-1, called closeOutbound()
http-nio-8443-exec-1, closeOutboundInternal()

最后的想法

虽然我使用的是 Apache httpd 2.4.9,但我已经看到 mod_proxy_wstunnel 的反向移植可以应用于 2.2.x 版本。希望我上面的笔记可以应用于那些旧版本。

于 2014-04-04T21:58:28.900 回答
1

如果您不希望 Apache 终止 SSL 连接(并转发未加密的 WebSocket 流量),但在最终目标 WebSocket 服务器上终止 SSL并且专门希望在进入 Apache 的 WebSocket 流量上使用 WSS,那么mod_proxy_connect可能能够只是通过原始流量连接。没有把握。如果可行,我也会感兴趣。

如果以上不成立,这里有更多信息:

无论如何,使用 Apache 将严重限制并发服务的 WebSocket 连接数量的可伸缩性,因为每个 WS 连接将消耗 Apache 上的 1 个进程/线程。

于 2012-07-13T10:40:45.127 回答