แชร์ใบรับรอง Let's Encrypt กับการเชื่อมต่อโหนด websocket บนโดเมนเดียวกันหรือไม่ เป็นไปได้? แนะนำ?

Jon

18/7/23 20:22

เป็นไปได้ / แนะนำให้ลงทะเบียนและต่ออายุใบรับรอง Let's Encrypt ผ่าน Nginx สำหรับ https และแชร์ใบรับรองเดียวกันนั้นในการเชื่อมต่อ websocket (wss://) บนโดเมนเดียวกัน เซิร์ฟเวอร์ websocket กำลังถูกเรียกใช้จาก node.js (เฉพาะ Colyseus - ซึ่งมี Express ในตัว)

ถ้าไม่ ควรตั้งค่า Nginx เป็นพร็อกซีย้อนกลับหน้าเซิร์ฟเวอร์ websocket และตั้งค่าใบรับรองด้วยวิธีนั้นหรือไม่

และสุดท้าย หากเป็นความคิดที่ดีที่จะใช้เพียงหนึ่งใบรับรองและแชร์กับเซิร์ฟเวอร์ websocket วิธีใดที่ดีที่สุดที่จะทำให้ Express โหลดไฟล์ซ้ำเมื่อ certbot ต่ออายุใบรับรอง certbot สามารถแจ้งให้เซิร์ฟเวอร์ทราบว่าอัปเดตใบรับรองได้หรือไม่ หรือต้องโหลดไฟล์ใหม่เลย

120

0 + 0

node.js

ให้เข้ารหัส

Score:2

Server

drookie

19/7/23 07:56

เป็นไปได้ / แนะนำให้ลงทะเบียนและต่ออายุ Let's Encrypt ใบรับรองผ่าน Nginx สำหรับ https และแบ่งปันใบรับรองเดียวกันนั้น ในการเชื่อมต่อ websocket (wss://) ในโดเมนเดียวกันหรือไม่ เว็บซ็อกเก็ต เซิร์ฟเวอร์กำลังถูกรันออกจาก node.js (เฉพาะ Colyseus - ซึ่ง มี Express ในตัว)

เป็นไปได้ แต่ไม่แนะนำ: แนวทางที่แนะนำคือใช้เว็บเซิร์ฟเวอร์มาตรฐานอุตสาหกรรมข้างหน้าเป็นพร็อกซีย้อนกลับ และอันดับหนึ่งคือ nginx ในขณะที่ตอบคำถามนี้ อย่างไรก็ตาม haproxy สามารถทำหน้าที่เป็นหนึ่งเดียวได้เช่นกัน

ถ้าไม่ ควรตั้งค่า Nginx เป็นพร็อกซีย้อนกลับหน้าเซิร์ฟเวอร์ websocket และตั้งค่าใบรับรองด้วยวิธีนั้นหรือไม่

ใช่ นั่นเป็นแนวทางที่แนะนำ เนื่องจากโดยปกติแล้วคุณไม่ได้เรียกใช้แอปพลิเคชันเฉพาะที่เชื่อมโยงกับพอร์ต HTTP/HTTPS โดยตรง: สิ่งนี้จะห้ามคุณจากการทำงานที่สำคัญประเภทต่างๆ การโหลดซ้ำอย่างราบรื่นในการต่ออายุใบรับรองเป็นหนึ่งในนั้น

และสุดท้าย หากเป็นความคิดที่ดีที่จะใช้เพียงหนึ่งใบรับรองและแชร์กับเซิร์ฟเวอร์ websocket วิธีใดที่ดีที่สุดที่จะทำให้ Express โหลดไฟล์ซ้ำเมื่อ certbot ต่ออายุใบรับรอง

โดยทั่วไปคุณเพียงแค่เรียกใช้ certbot ต่ออายุ (ครอนด์ เรียกใช้เพื่อคุณ) และเพียงแค่บอกให้ nginx รีเฟรชด้วย nginx -s โหลดซ้ำ.

certbot สามารถแจ้งให้เซิร์ฟเวอร์ทราบว่าอัปเดตใบรับรองได้หรือไม่

ฉันไม่รู้เกี่ยวกับเรื่องนี้ แต่กลไกนี้ไม่จำเป็นจริงๆ - ด้วยใบรับรอง LE สิ่งนี้ควรเกิดขึ้นเพียงครั้งเดียวใน 3 เดือน ดังนั้น ...

หรือต้องโหลดไฟล์ใหม่เลย

แน่นอนว่าพวกเขาทำ จะไม่เป็นได้อย่างไร - โหลดเพียงครั้งเดียวเมื่อเริ่มต้นเว็บเซิร์ฟเวอร์

0 + 0

Jon

19/7/23 14:47

ขอบคุณสำหรับคำตอบ ฉันมีคำถามอีกหนึ่งข้อ - การใช้ nginx เป็น reverse proxy จะเพิ่มการหน่วงเวลาหรือเพิ่มขนาดแพ็กเก็ตไปยัง / จากเซิร์ฟเวอร์ websocket ของฉันหรือไม่ เซิร์ฟเวอร์ ws ใช้สำหรับเกมที่เวลาแฝงมากกว่า 50 มิลลิวินาทีก็ไม่ดี นอกจากนี้สำหรับเร็กคอร์ดที่ฉันใช้งานอยู่ และกำลังวางแผนที่จะรันเซิร์ฟเวอร์ ws บนพอร์ต 2537 ต่อไป (iirc ไม่ใช่พอร์ต 80 แน่นอน)

ตอบกลับ

drookie

19/7/23 16:30

มันจะเพิ่มการหน่วงเวลาเพิ่มเติมอย่างแน่นอน แต่เรากำลังพูดถึงการหน่วงเวลาประมาณมิลลิวินาทีหรือเศษส่วน หากต้องการเพิ่มการหน่วงเวลา 50 มิลลิวินาที รีเวิร์สพร็อกซีของคุณจะต้องอยู่ในศูนย์ข้อมูลอื่นที่อยู่ห่างจากอินสแตนซ์ node.js ของคุณหลายพันกิโลเมตร

ตอบกลับ

drookie

19/7/23 16:30

และจะไม่มีอะไรเกิดขึ้นกับขนาดแพ็คเก็ต มันจะมีขนาดเท่ากันอย่างมีประสิทธิภาพ :)

ตอบกลับ

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: Sharing a Let's Encrypt certificate with a node websocket connection on the same domain? Possible? Advisable?

TH: แชร์ใบรับรอง Let's Encrypt กับการเชื่อมต่อโหนด websocket บนโดเมนเดียวกันหรือไม่ เป็นไปได้? แนะนำ?

RO: Partajați un certificat Let's Encrypt cu o conexiune websocket nod pe același domeniu? Posibil? Recomandabil?

RU: Совместное использование сертификата Let's Encrypt с подключением узла через веб-сокет в том же домене? Возможное? Целесообразно?

VI: Chia sẻ chứng chỉ Let's Encrypt với kết nối websocket nút trên cùng một miền? Khả thi? Có thể khuyên bảo?

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา