Web UI, WebSocket и проблема самоподписанных сертификатов
Доброго времени суток всем! В этой заметке я постараюсь рассмотреть проблематику зашифрованного соединения с Web-сервером (HTTPS) и такого же соединения с Comet-сервером с использованием WebSocket (WSS) при использовании самоподписанных сертификатов, а так же варианты для решения данной проблемы.
В данный момент времени я занимаюсь разработкой Web UI к некоему продукту компании, который будет использоваться внутри клиентских корпоративных сетей.
Изначальные условия: доступ к Web UI прямо по IP адресу сервера, желательно использование стандартных портов 80/443, чтобы облегчить деплоймент, ОС сервера — Windows Server 2012.
Comet-сервер нужен нам для организации связи между неким сервисом, который формирует отчеты по заданным параметрам, и непосредственно Web UI, через который клиент отправляет запрос, получает статус о выполнении и завершении задания, а так же для передачи разных сервисных сообщений о событиях (например — пользователь вошел в систему, данные пользователя были изменены администратором и т.п.).
Для Comet-сервера и бэкенда Web UI мы используем Node.JS.
Вообще опыта использования Node.JS у меня особого нет, но как оказалось подобные задачи делать на нем весьма удобно — не вдаваясь в детали на само написание первой версии с глобальным бродкастом сообщений между всеми участниками без «комнат» или «каналов» у меня ушло буквально пару часов. И большая куча времени на инвестигирование модулей Node.JS, на которых можно реализовать WebSocket сервер (Socket.IO, WS) — тут время ушло на исследование стыковки C# серверного компонента и Comet-сервера. Socket.IO нам не подошел — в версии > 1 там реализовано много «поверх», решили по разным причинам использовать более нативную реализацию и взяли модуль WS.
Скажу сразу, что Comet-сервер имеет два интерфейса: первый это обычный HTTP интерфейс (внутренний с авторизацией запросов), по которому происходит авторизация пользователей и компонентов, отправка команд серверу; второй это непосредственно WebSocket интерфейс (WS), к которому подключаются авторизованные пользователи и компоненты для получения сообщений о событиях в системе.
В связке HTTP+WS все естественно работает на «ура» и никаких проблем, но по заданию нам нужен SSL, и соответственно HTTPS+WSS.
Создать самоподписанный сертификат при помощи OpenSSL дело несложное, прикрутить к Web UI тоже буквально пара строчек, к интерфейсу Comet тоже просто.
И вот тут началось самое интересное.
Как все знают, при использовании самоподписанных сертификатов любой браузер выдает предупреждение и просит пользователя подтвердить, что он доверяет этому сертификату.
Итак, мы идем на тестовый Web UI с эмуляцией клиента по адресу https://127.0.0.1/, подтверждаем сертификат, далаем попытку соединения по адресу wss://127.0.0.1:4433/ — и получаем ошибку соединения. Потому что для адреса 127.0.0.1 и порта 4433 сертификат надо подтверждать второй раз. Браузер при этом ну никаких дополнительных сообщений о том, что сертификат нужно подтвердить, не выдает. Просто молча сбрасывает запрос и все, он даже до сервера не доходит.
Из четырех тестируемых браузеров — IE, Firefox, Opera, Chrome — второй раз не спрашивают подтверждения на другой порт по тому же адресу Chrome и Opera, IE и Firefox запрос молча обрубают с выдачей ошибки в консоль.
Поскольку скорее всего у клиента будет IE (все-таки Windows это массовая ОС у корпоративных клиентов), то это большая проблема.
Решение 1Самое простое решение, которое приходит в голову — это проксировать запросы. В Linux я бы поставил Nginx и проксировал через него, но у нас Windows. Взял уже имеющийся у меня Apache 2.2, настроил SSL и дал вот такую директиву: ProxyPass /wss/ ws://127.0.0.1:8095/ ProxyPass / http://127.0.0.1:8080/ То есть запросы на /wss/ пробрасываем к WS интерфейсу, все остальное — на Web UI.Не заработало. Гугление и прочее выдало что надо Apache 2.4 с модулем mod_proxy_wstunnel. Поставил, подключил — все прекрасно, Web UI выдает запрос один раз, WSS соединение устанавливается без проблем.
Но Apache в данном получается все-таки лишним компонентом, и несколько портит производительность, которую дает асинхронное приложение на Node.JS.
Решил попробовать написать прокси-сервер на Node.JS, не вышло. Если вкратце, то одновременные запросы на любой один порт с поднятием WS и HTTPS интерфейсов HTTPS интерфейс в упор не ловит запросов по WSS протоколу. Совсем. Проксировать отдельно HTTPS на внутренний HTTP и отдельно WSS на внутренний WS проксирует, а вот поймать урл при запросе wss://127.0.0.1/wss/ — никак.
Хорошо, вернемся к первому варианту и двум портам с подтверждением сертификатов.
В Node.JS WSS сервер создается на основе HTTPS-сервера и умеет отдавать некий контент при прямом запросе https://127.0.0.1:4433, чем я и решил воспользоваться:
var ws = require ('ws'); var https = require ('https'); var fs = require ('fs');
var processRequest = function (req, res) { res.statusCode = 200; res.end ('Hello, world!' + »\n»); };
var options = { key: fs.readFileSync (PathToKey), cert: fs.readFileSync (PathToCert) };
var cometApp = https.createServer (options, processRequest).listen (4433, function () { console.log ('Comet server [WSS] on *:4433'); });
var cometServerOptions = { server: cometApp, verifyClient: function (request) { // Some client verifying return true; } };
var cometServer = new ws.Server (cometServerOptions);
cometServer.on ('connection', function (socket) { socket.on ('message', function (data) { console.log ('New message received'); } }); }); Ради смеха решил попробовать iframe. В iframe выдается предупреждение… И никаких кнопок для пользователя чтобы подтвердить сертификат. Да и в любом случае я никак не могу отследить, подтвердил там чего пользователь или нет, чтобы потом установить соединение. Прописать в техтребованиях, чтобы пользователь обязательно сходил на два адреса? Тоже как-то некрасиво… AJAX-запрос на другой порт по тому же адресу вообще не работает из-за внутренней безопасности — для Javascript это два разных сайта.Решение 2 Оказалось несколько бредовым, но весьма рабочим. Итак, нам надо два раза подтвердить сертификат. А что если мы попросим пользователя сначала сходить на HTTPS интерфейс WSS-сервера, а потом после подтверждения сделаем редирект на основной WebUI? var ws = require ('ws'); var https = require ('https'); var fs = require ('fs');
var processRequest = function (req, res) { res.setHeader («Location», redirectUrl); res.statusCode = 302; res.end (); };
var options = { key: fs.readFileSync (PathToKey), cert: fs.readFileSync (PathToCert) };
var cometApp = https.createServer (options, processRequest).listen (4433, function () { console.log ('Comet server [WSS] on *:4433'); });
var cometServerOptions = { server: cometApp, verifyClient: function (request) { // Some client verifying return true; } };
var cometServer = new ws.Server (cometServerOptions);
cometServer.on ('connection', function (socket) { socket.on ('message', function (data) { console.log ('New message received'); } }); }); Работает! При запросе https://127.0.0.1:4433/ меня теперь просит подтвердить сертификат, потом автоматически перебрасывает в Web UI https://127.0.0.1/, где тоже просит подтвердить сертификат, после чего связка HTTPS на одном + WSS на другом порту прекрасно работает и больше ничего не спрашивает.NB! Выше я ничего не написал про доменные имена. Конечно, их можно использовать, чтобы получить нормальные сертификаты, но у меня есть определенные ограничения в виде корпоративной сети, из которой далеко не всегда есть доступ к центру сертификации, выдавшему сертификат. Да и требовать заводить доменные имена во внутренней сети для продакшена в моем случае это лишняя головная боль. Еще один сервер для Web UI на Linux, например, с проксей в виде Nginx в силу разных причин мы тоже не рассматриваем.
Выводы Для решения данной проблемы нашлось два пути: Проксирование с прямого адреса по части url Редирект с HTTPS-интерфейса WS-сервера на основной Web UI с подтверждением сертификатов два раза Буду рад любым комментариям, может есть еще какие решения.
