質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.47%

  • nginx

    1050questions

    nginixは軽量で高性能なwebサーバーの1つです。BSD-likeライセンスのもとリリースされており、あわせてHTTPサーバ、リバースプロキシ、メールプロキシの機能も備えています。MacOSX、Windows、Linux、上で動作します。

  • WebSocket

    210questions

    WebSocketとは双方向・全二重コミュニケーションのためのAPIでありプロトコルのことを指します。WebSocketはHTML5に密接に結びついており、多くのウェブブラウザの最新版に導入されています。

nginx-websocketサーバーのSSL設定

解決済

回答 1

投稿 編集

  • 評価
  • クリップ 1
  • VIEW 1,603

nagasa

score 25

現在、websocketサーバーにnginxを導入してSSL化したいと考えています。
プロキシサーバーとしてSSL化のみをおこなう予定です。
初心者で、初めてnginxに触れるのですが、下記の環境で設定をしてみました。

SSL無しの場合は動作していることは確認しています。クライアントでは(ws://websocketサーバーIPadress:9090)で接続
(SSL時にはws→wssに変更)
●websocketサーバー構成
CentOS7
websocket:voryx/Thruway
nginx:1.12.0
同一サーバー内に全てインストールしています。

vi /etc/nginx/nginx.conf

stream {
    upstream backend {
        server 127.0.0.1:9090;
    }

    server {
        listen 443 ssl;
        ssl_certificate      /root/SSL/server.crt;
        ssl_certificate_key  /root/SSL/XXXX.com.2017.key;
        proxy_connect_timeout 10s;
        proxy_timeout 10s;
        proxy_pass backend;
    }
}


多少は予想していましたが、やはり動かず、基本的なところがわかっていないのですが、
どのようにすれば良いのか教えて頂きたくよろしくお願いします。
(追記)

編集後、設定は下記の通りとなっています。

user  nginx;
worker_processes  1;

error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;


events {
    worker_connections  1024;
}


http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    keepalive_timeout  65;

    #gzip  on;

    include /etc/nginx/conf.d/*.conf;


    stream {
        upstream backend {
            server 127.0.0.1:9090;
        }

        server {
            listen 443 ssl;
            ssl_certificate      /root/SSL/server.crt;
            ssl_certificate_key  /root/SSL/XXXXX.com.2017.key;
            proxy_connect_timeout 10s;
            proxy_timeout 10s;


            location / {
                proxy_pass backend;
                proxy_http_version 1.1;
                proxy_set_header Upgrade $http_upgrade;
                proxy_set_header Connection "upgrade";
            }
        }
    }

}

更に修正版

user  nginx;
worker_processes  1;

error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;


events {
    worker_connections  1024;
}


http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    keepalive_timeout  65;

    #gzip  on;

    include /etc/nginx/conf.d/*.conf;




}

stream {
    upstream backend {
        server 127.0.0.1:9090;
    }

    server {
        listen 443 ssl;
        ssl_certificate      /root/SSL/server.crt;
        ssl_certificate_key  /root/SSL/XXXX.com.2017.key;
        proxy_connect_timeout 10s;
        proxy_timeout 10s;
        proxy_pass backend;
    }

}
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

checkベストアンサー

+1

http://nginx.org/en/docs/http/websocket.html によると、UpgradeConnection ヘッダが必要とのことです。

(2017/06/03 18:16) 訂正
ごめんなさい、stream {} ではなく、http {} の場合の設定でした。
クライアントからは https:// でアクセスしています。

http {
      (略)
    server {
        listen 443 ssl;
        ssl_certificate      /root/SSL/server.crt;
        ssl_certificate_key  /root/SSL/XXXX.com.2017.key;
        proxy_connect_timeout 10s;

        location / {
            proxy_pass http://127.0.0.1:9090;
            proxy_http_version 1.1;
            proxy_set_header Upgrade $http_upgrade;
            proxy_set_header Connection "upgrade";
        }
    }
}

stream {} の場合、質問文の設定で、クライアントから https:// でアクセスすると、Upgrade して WebSocket で通信できませんでしょうか。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/06/03 17:12

    回答ありがとうございます。指摘して頂いたコードを入れてみたのですが、proxy_http_version 1.1;の部分で下記のエラーが出てしまいました。何かモジュール等、入れ忘れているのかチェックしてみます。

    "proxy_http_version" directive is not allowed here in /etc/nginx/nginx.conf:

    キャンセル

  • 2017/06/03 17:18

    すみません。location / {} が必要でした。

    キャンセル

  • 2017/06/03 17:31 編集

    追記ありがとうございます。こちらの間違えかわかりませんが、まだ同じエラーが出ていまして、現在は
    本文の追記の通りとなっています、チェックしていみます。エラーは下記の通りです。

    nginx: [emerg] "stream" directive is not allowed here in /etc/nginx/nginx.conf

    キャンセル

  • 2017/06/03 18:17

    ごめんなさい、stream {} ではなく、http {} の場合の設定でした。
    クライアントからは https:// でアクセスしています。
    stream {} の場合、質問文の設定で、クライアントから https:// でアクセスすると、Upgrade して WebSocket で通信できませんでしょうか。

    キャンセル

  • 2017/06/03 18:39 編集

    バックエンドに tomcat7 の WebSocket Echo example で試してみましたが、質問文の最初の(location なしの) stream {} 設定で wss:// で接続できているように思います。

    キャンセル

  • 2017/06/03 19:03

    上の質問のところの「更に修正版」の設定で、nginxは問題なく動いたのですが、クライアント側では下記のエラーが出て、繋がりませんでした。クライアント側も調べてみます。

    WebSocket connection to 'wss://XXX.XXX.XXX.XX:9090/' failed: WebSocket opening handshake timed out

    キャンセル

  • 2017/06/03 19:15

    ちょっと、コードに間違いがないなら、もしかしたらSSLのファイルに問題があるかもしれないので、見てみます。一旦、これでベストアンサーとします。本当にありがとうございました。

    キャンセル

  • 2017/06/03 19:42

    wss:// なのになぜか :9090 が付いていますね。
    wss://IPアドレス/ または wss://IPアドレス:443/ となるはず。

    キャンセル

  • 2017/06/03 20:06

    ご指摘ありがとうございます。修正しました。ただ、まだ問題が根深いようで、なかなかつながらないです。

    キャンセル

  • 2017/06/06 11:37

    アプリ側でリダイレクト(Location: wss://XXX.XXX.XXX.XX:9090/) を返していませんでしょうか?
    もし、そうならば、"proxy_redirect wss://XXX.XXX.XXX.XX:9090/ /" などで Location を変換するといいと思います。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.47%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る

  • nginx

    1050questions

    nginixは軽量で高性能なwebサーバーの1つです。BSD-likeライセンスのもとリリースされており、あわせてHTTPサーバ、リバースプロキシ、メールプロキシの機能も備えています。MacOSX、Windows、Linux、上で動作します。

  • WebSocket

    210questions

    WebSocketとは双方向・全二重コミュニケーションのためのAPIでありプロトコルのことを指します。WebSocketはHTML5に密接に結びついており、多くのウェブブラウザの最新版に導入されています。