关于nginx:Docker下Nginx实现WebSocketSSL反向代理

问题背景：开发网页利用大部分基于 http 协定，在应用一些额定性能波及隐衷平安，譬如视频、音频传输会须要通过 https 建设链接。在不对原有的网页架构进行更改的前提下，须要通过 Nginx 对客户端发动的 https 申请进行代理，客户端与 Nginx 服务器之前通信应用 WebSocket + SSL，Nginx 服务与服务器之间应用 WebSocket 进行通信。

一、Docker 环境装置

curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun

二、Nginx 镜像包导出，以及载入

docker pull nginx:mainline-alpine-perldocker save e310e1d4a8bb -o /home/nginx.tar //存储镜像为tar包docker load -i nginx.tar //转移jar包，从新载入docker run --name nginx -d -p 8010:8010 -p 8011:8011 -p 433:433 nginx:mainline-alpine-perl --restart always //restart = ‘always’ 参数指定服务是否自启动docker run --name nginx -d -p 8010:8010 -p 8011:8011 -p 433:433 nginx //运行nginx镜像并建设端口映射

三、nginx.conf 文件、目录挂载

无挂载目录

docker stop nginxfind / -name nginx.confcd /XXX/XXX/XXX/ //find命令所查找的门路名称vim nginx.confdocker start nginx

挂载目录

docker exec -it nginx /bin/bash //进入容器外部docker run --name nginx -d -p 8090:80 -p 443:443 -v /home/nginx/nginx.conf:/etc/nginx/nginx.conf -v /home/nginx/conf.d:/etc/nginx/conf.d -v /home/ssl:/home nginx //挂载目录,批改对应目录下的文件即可

四、证书生成（解决自签名证书有效）

chrome验证证书很严格，必须带有Subject Alternative Name.

linux 下查找 openssl.cnf 文件。cp 一份到以后open文件夹上面。

cp /etc/pki/tls/openssl.cnf ~/open/

第一步，在 [ req ] 节增加：

req_extetions = v3_req

第二步，增加 v3_req 节的配置

[ v3_req ] # Extensions to add to a certificate request basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment subjectAltName = @alt_names

第三步，在 alt_names 增加受信赖域名,这个受信赖的域名用途就是，咱们生成的证书只能是以下域名应用才行，否则会报COMMON_NAME_INVALID 谬误。

[ alt_names ]DNS.1 = localhost（特定域名）DNS.2 = 特定域名DNS.3 = 特定域名

第四步，生成证书

openssl req -sha256 -newkey rsa:2048 -nodes -keyout  server.key -x509 -days 3650 -out  server.crt -config ./openssl.cnf -extensions v3_req //生成证书时，国家、省份、城市、组织、个人、域名、邮箱等均按失常状况填写即可。

第五步，将证书搁置到 Nginx 指定门路的文件夹，并将 server 对应的证书配置项批改为证书所在的门路。

五、nginx 配置文件（默认介绍+SSL配置）

nginx 默认配置介绍

# 运行用户，默认即是nginx，能够不进行设置user  nginx;#Nginx过程，个别设置为和CPU核数一样worker_processes  1;#谬误日志寄存目录error_log  /var/log/nginx/error.log warn;#过程pid寄存地位pid        /var/run/nginx.pid;events {    worker_connections  1024; # 单个后盾过程的最大并发数}http {    include       /etc/nginx/mime.types; #文件扩展名与类型映射表    default_type  application/octet-stream; #默认文件类型    #设置日志模式    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '                      '$status $body_bytes_sent "$http_referer" '                      '"$http_user_agent" "$http_x_forwarded_for"';    access_log  /var/log/nginx/access.log  main; #nginx拜访日志寄存地位    sendfile        on; #开启高效传输模式    #tcp_nopush     on; #缩小网络报文段的数量    keepalive_timeout  65; #放弃连贯的工夫，也叫超时工夫    #gzip  on; #开启gzip压缩    include /etc/nginx/conf.d/*.conf; #蕴含的子配置项地位和文件}

nginx.conf SSL配置

http {    server {        listen       443 ssl;        server_name 特定域名(localhost);                ssl_certificate server.crt;        ssl_certificate_key server.key;        error_log   logs/error.log;        client_max_body_size 60M;        client_body_buffer_size 512k;        location ~/.* {            proxy_pass   http://127.0.0.1:7080;        }    }        server {        listen 8083 ssl;        server_name 特定域名(localhost);            ssl_certificate server.crt;        ssl_certificate_key server.key;        ssl_protocols SSLv3 SSLv2 TLSv1 TLSv1.1 TLSv1.2;        ssl_session_cache shared:SSL:1m;        ssl_session_timeout  10m;        # ssl_prefer_server_ciphers on;        location /ws{             #反向代理到mqtt的ws端口8083，同时协定转换为http，这样服务器端代码就不须要做批改            proxy_pass http://192.168.55.111:8083;            proxy_http_version 1.1;            proxy_set_header Upgrade $http_upgrade;            #因为服务器端源码(倡议大家做好大小写匹配)只匹配了"Upgrade"字符串,所以如果这里填"upgrade"服务器端会将这条http申请当成一般的申请,导致websocket握手失败            proxy_set_header Connection "Upgrade";            proxy_set_header Remote_addr $remote_addr;            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;            proxy_read_timeout 600s;        }    }   }

六、浏览器证书装置

对于自生成的证书，须要在浏览器内手动装置。证书装置形式可参考 证书装置。

批改 C:\Windows\System32\drivers\etc\hosts 的文件配置，填写下列映射：

192.5.52.128 特定域名(与生成证书时的域名相匹配)