HTTPS配置WebSocket

1.1 问题描述

HTTP 是超文本传输协议，信息是明文传输的。HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议，比 HTTP 协议安全。

可以通过两种方法在 HTTPS 环境中配置 WebSocket，下面将详细介绍。

注：5.1.20 及之后版本的BI工程，新增了一个容器Websocket方案。推荐优先查看是否可使用该方案：容器Websocket方案

无需任何用户操作，无需任何手动配置，无需额外开启端口，系统可自动使用Web容器自带的WebSocket进行连接，端口复用http端口。

1.2 解决思路

方法二：如果用了 Nginx 反向代理服务器，那么可以在 Nginx 上配置 SSL，而应用服务器如 Tomcat 不配置 SSL。这样客户端和 Nginx 之间走 https 通讯，Nginx 和 Tomcat 之间通过 proxy_pass 走 http 通讯。

注1：JAR 包时间在 2019-12-05 之后的工程，支持在数据决策系统中，通过可视化界面设置 WebSocket 。详情请参见：常规 第三章

注2：11.0.2 及之后版本，新增一个容器 websocket 方案，帮助用户实现快速配置 websocket 端口。

       若「管理系统>系统管理>常规」页面不显示Websocket设置项，说明此方案生效，Websocket 连接已正确配置，无需其他任何手动配置。

以 Windows 系统下使用方法一配置 WebSocket 为例。

2.1 搭建 HTTPS 环境

搭建 HTTPS 环境的详细内容参见：配置SSL证书实现HTTPS访问。

2.2 配置数据库

在 FineDB 的 fine_conf_entity 表中添加以下 4 个参数项，参数信息如下表所示：

WebSocketConfig.keyStore 和 WebSocketConfig.keyStorePassword 的配置如下图所示：

注：fine_conf_entity 表中的WebSocketConfig.keyStore的值必须是绝对路径，不可以是相对路径。

数据库表中新增信息如下图所示：

配置完成之后，重启报表服务器即可生效。

注：Https 配置 WebSocket 后，Http下 WebSocket 会请求不到。

以 Linux+Nginx+Tomcat 下使用方法二配置 WebSocket 为例。

注：非必要请勿使用自签名证书，使用自签名证书有可能会导致部分记录丢失，详情请参见 4.1 节。

3.1 生成自签名的SSL证书

注：已有证书的可以跳过该步骤。

1）安装 OpenSSL 并验证。

# yum install openssl openssl-devel

# openssl version -a

2）生成密钥文件 server.key。

# openssl genrsa -des3 -out server.key 2048

生成密钥文件时会要求设置密码，设置好密码后需要记住这个密码。

这样就生成了 server.key 文件。此后用到了该文件会经常要求输入密码。如 Nginx 加载了该 server.key，启动时会要求输入密码。

如果嫌麻烦，可以用以下命令生成 server.key，这样就不再需要输入密码。

# openssl rsa -in server.key -out server.key

3）生成服务器证书的申请文件 server.csr。

# openssl req -new -key server.key -out server.csr

Country Name 填 CN，Common Name 填主机名，不填的话浏览器会提示不安全，其余均可为空。

4）生成 CA 证书 ca.crt。

# openssl req -new -x509 -key server.key -out ca.crt -days 3650

CA证书用于给自己的证书签名。

5）生成服务器证书 server.crt。

# openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key -CAcreateserial -out server.crt

6）查看生成的5个文件，其中 server.crt 和 server.key 就是 Nginx 需要的证书文件。

3.2 Nginx配置HTTPS

HTTP 默认端口是 80，HTTPS 默认端口是 443。

Nginx配置完整版：nginx-demo .conf

注意：修改 nginx.conf 后，重启 Nginx 时不要用 reload，要用 stop 和 start，否则配置可能不生效。

1）配置 443 端口

server {
        listen       443 ssl;
        server_name  192.168.5.232;
     
        ssl_certificate      /mnt/hgfs/share/keys/server.crt; #证书绝对路径
        ssl_certificate_key  /mnt/hgfs/share/keys/server.key; #key绝对路径
        ssl_session_cache    shared:SSL:1m; #储存SSL会话的缓存类型和大小  
        ssl_session_timeout  5m; #会话过期时间
 
        ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP; #为建立安全连接，服务器所允许的密码格式列表
        ssl_prefer_server_ciphers  on; #依赖SSLv3和TLSv1协议的服务器密码将优先于客户端密码
     
        #禁止在header中出现服务器版本，防止黑客利用版本漏洞攻击
        #server_tokens off;
        #如果是全站 HTTPS 并且不考虑 HTTP 的话，可以加入 HSTS 告诉浏览器本网站全站加密，并且强制用 HTTPS 访问
        #fastcgi_param   HTTPS               on;
        #fastcgi_param   HTTP_SCHEME         https;
     
        location / {
            proxy_http_version 1.1;
            proxy_set_header Connection "";
 
            proxy_buffering off;
            proxy_next_upstream http_500 http_502 http_503 error timeout invalid_header non_idempotent;
 
            proxy_redirect off;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            # 把 HTTPS 的协议告知容器（如tomcat），否则容器可能认为是 HTTP 的请求
            proxy_set_header X-Forwarded-Proto $scheme;
             
            proxy_connect_timeout    20;
            proxy_read_timeout       1000;
            proxy_send_timeout       300;
 
            proxy_pass http://FR.com;
        }
     }

2）配置 WebSocket 端口

WebSocket 配置 HTTPS 很容易出问题，集群启动后，可在智能运维>内存管理中，看实时内存图是否显示。

server { 
      listen       48889 ssl;            
      server_name  192.168.5.232;
 
      ssl_certificate      /mnt/hgfs/share/keys/server.crt;
      ssl_certificate_key  /mnt/hgfs/share/keys/server.key;
 
      ssl_session_cache    shared:SSL:1m;
      ssl_session_timeout  5m;
 
      ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
      ssl_prefer_server_ciphers  on;
      location / {
          proxy_request_buffering off;
          proxy_buffering off;
          proxy_connect_timeout 20;
          proxy_read_timeout 1000;
          proxy_send_timeout       300;
          proxy_http_version 1.1;
          proxy_set_header Upgrade $http_upgrade;
          proxy_set_header Connection "upgrade";
          proxy_pass http://WBS.com;
       }
  }

Nginx 转发默认监听38889端口，节点的 WebSocket默认监听48888端口，可自行修改。转发端口是fine_conf_entity表中的参数项WebSocketConfig.requestPorts，且支持配置多个端口进行多次转发，如下所示：

转发端口可直接在前台进行配置，可参考文档：常规 第三章

注：2019-09-27 及之前版本的 JAR 包，转发端口生效参数项是 WebSocketConfig.requestPort 且只支持一个端口。如下所示：

3）配置 HTTP 强转 HTTPS

rewrite ^(.*)$  https://$server_name$1 permanent;

4）Nginx 跨域设置

add_header access-control-allow-Headers X-Requested-With;
add_header access-control-allow-Methods GET,POST,OPTIONS;

注：Nginx 跨域配置不能加上「add_header access-control-allow-Origin *;」这个前端应该是已经有过配置，增加会导致前端无法选择跨域配置，而导致错误。

4.1 部分浏览器设置不生效

问题描述：

使用方法二进行配置后，火狐浏览器访问还是空白，IE 浏览器访问模板没有记录。

这是因为自签名的证书不被浏览器信任，页面能访问是因为手动添加了例外，但是48888端口没有，所以浏览器拦截了 Socket 请求。

解决方案：

F12看一下拦截的请求，复制下来，直接访问一下48888端口添加安全例外或者手动添加。

这样浏览器就可以查看实时内存了，如下图所示：

4.2 其他

1）密钥路径：

• Tomcat 配置中 server.xml 里面绝对路径/相对路径都可以。

• 数据决策系统中「系统管理>常规>https 设置」中「SSL 密钥路径」只支持绝对路径。

2）设计器不支持配置 HTTPS，EXE 安装的 BI 不支持配置 HTTPS。

3）若 Nginx 配置了 https，那么就不要在「系统管理>常规>https」设置中进行配置。

4）Tomcat 工程配置了 https，http 和 https 都可以访问工程。但是 websocket 不能同时支持，https 连接正常，http 就会连接失败。

     Nginx 工程无影响，websocket 可同时支持。