Artikel itu akan berguna kepada mereka yang:
- mengetahui apa itu Sijil Pelanggan dan memahami mengapa ia memerlukan soket web pada Safari mudah alih;
- Saya ingin menerbitkan perkhidmatan web kepada kalangan orang yang terhad atau hanya untuk diri saya sendiri;
- berfikir bahawa segala-galanya telah dilakukan oleh seseorang, dan ingin menjadikan dunia lebih mudah dan selamat.
Sejarah websocket bermula kira-kira 8 tahun yang lalu. Sebelum ini, kaedah digunakan dalam bentuk permintaan http yang panjang (sebenarnya respons): penyemak imbas pengguna menghantar permintaan kepada pelayan dan menunggu untuk menjawab sesuatu, selepas respons ia disambungkan semula dan menunggu. Tetapi kemudian websocket muncul.
Beberapa tahun yang lalu, kami membangunkan pelaksanaan kami sendiri dalam PHP tulen, yang tidak boleh menggunakan permintaan https, kerana ini adalah lapisan pautan. Tidak lama dahulu, hampir semua pelayan web mempelajari permintaan proksi melalui https dan menyokong connection:upgrade.
Apabila ini berlaku, soket web hampir menjadi perkhidmatan lalai untuk aplikasi SPA, kerana betapa mudahnya untuk menyediakan kandungan kepada pengguna atas inisiatif pelayan (menghantar mesej daripada pengguna lain atau memuat turun versi baharu imej, dokumen, pembentangan bahawa orang lain sedang mengedit) .
Walaupun Sijil Pelanggan telah wujud untuk sekian lama, ia masih kekal kurang disokong, kerana ia menimbulkan banyak masalah apabila cuba memintasnya. Dan (mungkin :slightly_smiling_face: ) itulah sebabnya pelayar IOS (semua kecuali Safari) tidak mahu menggunakannya dan memintanya daripada kedai sijil tempatan. Sijil mempunyai banyak kelebihan berbanding dengan kekunci log masuk/lulus atau ssh atau menutup port yang diperlukan melalui tembok api. Tetapi bukan itu yang dimaksudkan.
Pada iOS, prosedur untuk memasang sijil agak mudah (bukan tanpa spesifik), tetapi secara umum ia dilakukan mengikut arahan, yang terdapat banyak di Internet dan yang hanya tersedia untuk penyemak imbas Safari. Malangnya, Safari tidak tahu cara menggunakan Client Π‘ert untuk soket web, tetapi terdapat banyak arahan di Internet tentang cara membuat sijil sedemikian, tetapi dalam amalan ini tidak dapat dicapai.
Untuk memahami soket web, kami menggunakan pelan berikut: masalah/hipotesis/penyelesaian.
Masalah: tiada sokongan untuk soket web apabila meminta proksi kepada sumber yang dilindungi oleh sijil klien pada penyemak imbas mudah alih Safari untuk IOS dan aplikasi lain yang telah mendayakan sokongan sijil.
Hipotesis:
- Adalah mungkin untuk mengkonfigurasi pengecualian sedemikian untuk menggunakan sijil (mengetahui bahawa tidak akan ada) kepada soket web sumber proksi dalaman/luaran.
- Untuk soket web, anda boleh membuat sambungan yang unik, selamat dan boleh dipertahankan menggunakan sesi sementara yang dijana semasa permintaan penyemak imbas biasa (bukan soket web).
- Sesi sementara boleh dilaksanakan menggunakan satu pelayan web proksi (modul dan fungsi terbina dalam sahaja).
- Token sesi sementara telah pun dilaksanakan sebagai modul Apache siap sedia.
- Token sesi sementara boleh dilaksanakan dengan mereka bentuk struktur interaksi secara logik.
Keadaan yang boleh dilihat selepas pelaksanaan.
Matlamat kerja: pengurusan perkhidmatan dan infrastruktur harus boleh diakses daripada telefon mudah alih pada IOS tanpa program tambahan (seperti VPN), bersatu dan selamat.
Matlamat tambahan: menjimatkan masa dan sumber/trafik telefon (sesetengah perkhidmatan tanpa soket web menjana permintaan yang tidak perlu) dengan penghantaran kandungan yang lebih pantas pada Internet mudah alih.
Bagaimana untuk menyemak?
1. Muka surat pembukaan:
β Π½Π°ΠΏΡΠΈΠΌΠ΅Ρ, https://teamcity.yourdomain.com Π² ΠΌΠΎΠ±ΠΈΠ»ΡΠ½ΠΎΠΌ Π±ΡΠ°ΡΠ·Π΅ΡΠ΅ Safari (Π΄ΠΎΡΡΡΠΏΠ΅Π½ ΡΠ°ΠΊΠΆΠ΅ Π² Π΄Π΅ΡΠΊΡΠΎΠΏΠ½ΠΎΠΉ Π²Π΅ΡΡΠΈΠΈ) β Π²ΡΠ·ΡΠ²Π°Π΅Ρ ΡΡΠΏΠ΅ΡΠ½ΠΎΠ΅ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ΅Π½ΠΈΠ΅ ΠΊ Π²Π΅Π±-ΡΠΎΠΊΠ΅ΡΠ°ΠΌ.
β Π½Π°ΠΏΡΠΈΠΌΠ΅Ρ, https://teamcity.yourdomain.com/admin/admin.html?item=diagnostics&tab=webSβ¦β ΠΏΠΎΠΊΠ°Π·ΡΠ²Π°Π΅Ρ ping/pong.
β Π½Π°ΠΏΡΠΈΠΌΠ΅Ρ, https://rancher.yourdomain.com/p/c-84bnv:p-vkszd/workload/deployment:danidb:phβ¦-> viewlogs β ΠΏΠΎΠΊΠ°Π·ΡΠ²Π°Π΅Ρ Π»ΠΎΠ³ΠΈ ΠΊΠΎΠ½ΡΠ΅ΠΉΠ½Π΅ΡΠ°.2. Atau dalam konsol pembangun:
Ujian hipotesis:
1. Adalah mungkin untuk mengkonfigurasi pengecualian sedemikian untuk menggunakan sijil (mengetahui bahawa tidak akan ada) kepada soket web sumber proksi dalaman/luaran.
2 penyelesaian ditemui di sini:
a) Di peringkat
<Location sock*> SSLVerifyClient optional </Location>
<Location /> SSLVerifyClient require </Location>
menukar tahap akses.
Kaedah ini mempunyai nuansa berikut:
- Pengesahan sijil berlaku selepas permintaan kepada sumber yang diproksikan, iaitu, pasca permintaan berjabat tangan. Ini bermakna proksi akan memuatkan dahulu dan kemudian memotong permintaan kepada perkhidmatan yang dilindungi. Ini buruk, tetapi tidak kritikal;
- Dalam protokol http2. Ia masih dalam draf, dan pengeluar penyemak imbas tidak tahu cara melaksanakannya #info tentang tls1.3 http2 pasca jabat tangan (tidak berfungsi sekarang) ;
- Tidak jelas bagaimana untuk menyatukan pemprosesan ini.
b) Pada peringkat asas, benarkan ssl tanpa sijil.
SSLVerifyClient memerlukan => SSLVerifyClient pilihan, tetapi ini mengurangkan tahap keselamatan pelayan proksi, kerana sambungan sedemikian akan diproses tanpa sijil. Walau bagaimanapun, anda boleh menafikan lagi akses kepada perkhidmatan proksi dengan arahan berikut:
RewriteEngine on
RewriteCond %{SSL:SSL_CLIENT_VERIFY} !=SUCCESS
RewriteRule .? - [F]
ErrorDocument 403 "You need a client side certificate issued by CAcert to access this site"
Maklumat lebih terperinci boleh didapati dalam artikel tentang ssl:
Kedua-dua pilihan telah diuji, pilihan "b" telah dipilih untuk fleksibiliti dan keserasian dengan protokol http2.
Untuk melengkapkan pengesahan hipotesis ini, ia mengambil banyak percubaan dengan konfigurasi; reka bentuk berikut telah diuji:
jika = memerlukan = tulis semula
Hasilnya ialah reka bentuk asas berikut:
SSLVerifyClient optional
RewriteEngine on
RewriteCond %{SSL:SSL_CLIENT_VERIFY} !=SUCCESS
RewriteCond %{HTTP:Upgrade} !=websocket [NC]
RewriteRule .? - [F]
#ErrorDocument 403 "You need a client side certificate issued by CAcert to access this site"
#websocket for safari without cert auth
<If "%{SSL:SSL_CLIENT_VERIFY} != 'SUCCESS'">
<If "%{HTTP:Upgrade} = 'websocket'">
...
#Π·Π°ΠΌΠ΅ΡΠ°Π΅ΠΌ Π°Π²ΡΠΎΡΠΈΠ·Π°ΡΠΈΡ ΠΏΠΎ Π²Π»Π°Π΄Π΅Π»ΡΡΡ ΡΠ΅ΡΡΠΈΡΠΈΠΊΠ°ΡΠ° Π½Π° Π°Π²ΡΠΎΡΠΈΠ·Π°ΡΠΈΡ ΠΏΠΎ Π½ΠΎΠΌΠ΅ΡΡ ΠΏΡΠΎΡΠΎΠΊΠΎΠ»Π°
SSLUserName SSl_PROTOCOL
</If>
</If>
Dengan mengambil kira kebenaran sedia ada oleh pemilik sijil, tetapi dengan sijil yang tiada, saya terpaksa menambah pemilik sijil yang tidak wujud dalam bentuk salah satu pembolehubah yang tersedia SSl_PROTOCOL (bukan SSL_CLIENT_S_DN_CN), butiran lanjut dalam dokumentasi:
2. Untuk soket web, anda boleh membuat sambungan yang unik, selamat dan dilindungi menggunakan sesi sementara yang dijana semasa permintaan penyemak imbas biasa (bukan soket web).
Berdasarkan pengalaman sebelumnya, anda perlu menambah bahagian tambahan pada konfigurasi untuk menyediakan token sementara untuk sambungan soket web semasa permintaan biasa (bukan soket web).
#ΠΏΠΎΠ΄Π³ΠΎΡΠΎΠ²ΠΊΠ° ΠΏΠ΅ΡΠ΅Π΄Π°ΡΠ° ΡΠ΅Π±Π΅ Π‘ookie ΡΠ΅ΡΠ΅Π· ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»ΡΡΠΊΠΈΠΉ Π±ΡΠ°ΡΠ·Π΅Ρ
<If "%{SSL:SSL_CLIENT_VERIFY} = 'SUCCESS'">
<If "%{HTTP:Upgrade} != 'websocket'">
Header set Set-Cookie "websocket-allowed=true; path=/; Max-Age=100"
</If>
</If>
#ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° Cookie Π΄Π»Ρ ΡΡΡΠ°Π½ΠΎΠ²Π»Π΅Π½ΠΈΡ Π²Π΅Π±-ΡΠΎΠΊΠ΅Ρ ΡΠΎΠ΅Π΄ΠΈΠ½Π΅Π½ΠΈΡ
<source lang="javascript">
<If "%{SSL:SSL_CLIENT_VERIFY} != 'SUCCESS'">
<If "%{HTTP:Upgrade} = 'websocket'">
#check for exists cookie
#get and check
SetEnvIf Cookie "websocket-allowed=(.*)" env-var-name=$1
#or rewrite rule
RewriteCond %{HTTP_COOKIE} !^.*mycookie.*$
#or if
<If "%{HTTP_COOKIE} =~ /(^|; )cookie-names*=s*some-val(;|$)/ >
</If
</If>
</If>
Ujian menunjukkan bahawa ia berfungsi. Adalah mungkin untuk memindahkan Kuki kepada diri sendiri melalui penyemak imbas pengguna.
3. Sesi sementara boleh dilaksanakan menggunakan satu pelayan web proksi (hanya modul dan fungsi terbina dalam).
Seperti yang kami ketahui sebelum ini, Apache mempunyai banyak fungsi teras yang membolehkan anda membuat binaan bersyarat. Walau bagaimanapun, kami memerlukan cara untuk melindungi maklumat kami semasa ia berada dalam penyemak imbas pengguna, jadi kami menetapkan perkara yang perlu disimpan dan sebabnya, dan apakah fungsi terbina dalam yang akan kami gunakan:
- Kami memerlukan token yang tidak boleh dinyahkodkan dengan mudah.
- Kami memerlukan token yang mempunyai keusangan terbina di dalamnya dan keupayaan untuk menyemak keusangan pada pelayan.
- Kami memerlukan token yang akan dikaitkan dengan pemilik sijil.
Ini memerlukan fungsi pencincangan, garam dan tarikh untuk umur token. Berdasarkan dokumentasi kami mempunyai semuanya di luar kotak sha1 dan %{TIME}.
Hasilnya ialah reka bentuk ini:
#Π½Π΅Ρ ΡΠ΅ΡΡΠΈΡΠΈΠΊΠ°ΡΠ°, ΠΈ ΠΎΠ±ΡΠ°ΡΠ΅Π½ΠΈΠ΅ ΠΊ websocket
<If "%{SSL:SSL_CLIENT_VERIFY} != 'SUCCESS'">
<If "%{HTTP:Upgrade} = 'websocket'">
SetEnvIf Cookie "zt-cert-sha1=([^;]+)" zt-cert-sha1=$1
SetEnvIf Cookie "zt-cert-uid=([^;]+)" zt-cert-uid=$1
SetEnvIf Cookie "zt-cert-date=([^;]+)" zt-cert-date=$1
#ΡΠΎΠ»ΡΠΊΠΎ ΡΠ°ΠΊ ΠΌΠΎΠΆΠ½ΠΎ ΡΠ°Π±ΠΎΡΠ°ΡΡ Ρ ΠΏΠ΅ΡΠ΅ΠΌΠ΅Π½Π½ΡΠΌΠΈ, ΠΏΠΎΠ»ΡΡΠ΅Π½Π½ΡΠΌΠΈ Π² env-Π°Ρ
Π² ΡΡΠΎΡ ΠΌΠΎΠΌΠ΅Π½Ρ Π²ΡΠ΅ΠΌΠ΅Π½ΠΈ, Π±ΠΎΠ»Π΅Π΅ ΠΎΠ½ΠΈ Π½ΠΈΠ³Π΄Π΅ Π½Π΅ Π΄ΠΎΡΡΡΠΏΠ½Ρ Π΄Π»Ρ ΡΡΠ½ΠΊΡΠΈΠΈ Ρ
Π΅ΡΠΈΡΠΎΠ²Π°Π½ΠΈΡ (ΠΏΠΎ ΠΎΡΠ΄Π΅Π»ΡΠ½ΠΎΡΡΠΈ ΠΌΠΎΠΆΠ½ΠΎ, Π½ΠΎ Π½Π΅ Π²ΠΌΠ΅ΡΡΠ΅, Π΄Π° ΠΈ Π΅ΡΡ Ρ Ρ
Π΅ΡΠΈΡΠΎΠ²Π°Π½ΠΈΠ΅ΠΌ)
<RequireAll>
Require expr %{sha1:salt1%{env:zt-cert-date}salt3%{env:zt-cert-uid}salt2} == %{env:zt-cert-sha1}
Require expr %{env:zt-cert-sha1} =~ /^.{40}$/
</RequireAll>
</If>
</If>
#Π΅ΡΡΡ ΡΠ΅ΡΡΠΈΡΠΈΠΊΠ°Ρ, Π·Π°ΠΏΡΠ°ΡΠΈΠ²Π°Π΅ΡΡΡ Π½Π΅ websocket
<If "%{SSL:SSL_CLIENT_VERIFY} = 'SUCCESS'">
<If "%{HTTP:Upgrade} != 'websocket'">
SetEnvIf Cookie "zt-cert-sha1=([^;]+)" HAVE_zt-cert-sha1=$1
SetEnv zt_cert "path=/; HttpOnly;Secure;SameSite=Strict"
#ΠΠΎΠ²ΡΠ΅ ΠΊΡΠΊΠΈ ΡΡΠ°Π²ΡΡΡΡ, Π΅ΡΠ»ΠΈ ΡΡΠ°ΡΡΡ
Π½Π΅Ρ
Header add Set-Cookie "expr=zt-cert-sha1=%{sha1:salt1%{TIME}salt3%{SSL_CLIENT_S_DN_CN}salt2};%{env:zt_cert}" env=!HAVE_zt-cert-sha1
Header add Set-Cookie "expr=zt-cert-uid=%{SSL_CLIENT_S_DN_CN};%{env:zt_cert}" env=!HAVE_zt-cert-sha1
Header add Set-Cookie "expr=zt-cert-date=%{TIME};%{env:zt_cert}" env=!HAVE_zt-cert-sha1
</If>
</If>
Matlamat telah dicapai, tetapi terdapat masalah dengan keusangan pelayan (anda boleh menggunakan Kuki berusia setahun), yang bermaksud bahawa token, walaupun selamat untuk kegunaan dalaman, tidak selamat untuk kegunaan industri (massa).
4. Token sesi sementara telah pun dilaksanakan sebagai modul Apache siap sedia.
Satu masalah penting kekal daripada lelaran sebelumnya - ketidakupayaan untuk mengawal penuaan token.
Kami sedang mencari modul siap sedia yang melakukan ini, menurut perkataan: Apache token json two factor auth
Ya, terdapat modul siap sedia, tetapi semuanya terikat pada tindakan tertentu dan mempunyai artifak dalam bentuk memulakan sesi dan Kuki tambahan. Maksudnya, bukan untuk seketika.
Kami mengambil masa lima jam untuk mencari, yang tidak memberikan hasil yang konkrit.
5. Token sesi sementara boleh dilaksanakan dengan mereka bentuk struktur interaksi secara logik.
Modul sedia dibuat terlalu kompleks, kerana kita hanya memerlukan beberapa fungsi.
Walaupun begitu, masalah dengan tarikh ialah fungsi terbina dalam Apache tidak membenarkan menjana tarikh dari masa hadapan, dan tiada penambahan/penolakan matematik dalam fungsi terbina dalam semasa menyemak keusangan.
Iaitu, anda tidak boleh menulis:
(%{env:zt-cert-date} + 30) > %{DATE}
Anda hanya boleh membandingkan dua nombor.
Semasa mencari penyelesaian untuk masalah Safari, saya menemui artikel yang menarik:
Ia menerangkan contoh kod dalam Lua untuk Nginx, dan yang, ternyata, sangat mengulangi logik bahagian konfigurasi yang telah kami laksanakan, dengan pengecualian penggunaan kaedah pengasinan hmac untuk pencincangan ( ini tidak ditemui dalam Apache).
Ia menjadi jelas bahawa Lua ialah bahasa dengan logik yang jelas, dan adalah mungkin untuk melakukan sesuatu yang mudah untuk Apache:
Setelah mengkaji perbezaan dengan Nginx dan Apache:
Dan fungsi yang tersedia daripada pengeluar bahasa Lua:
Kami menemui cara untuk menetapkan pembolehubah env dalam fail Lua kecil untuk menetapkan tarikh dari masa hadapan untuk dibandingkan dengan yang semasa.
Inilah rupa skrip Lua yang mudah:
require 'apache2'
function handler(r)
local fmt = '%Y%m%d%H%M%S'
local timeout = 3600 -- 1 hour
r.notes['zt-cert-timeout'] = timeout
r.notes['zt-cert-date-next'] = os.date(fmt,os.time()+timeout)
r.notes['zt-cert-date-halfnext'] = os.date(fmt,os.time()+ (timeout/2))
r.notes['zt-cert-date-now'] = os.date(fmt,os.time())
return apache2.OK
end
Dan ini adalah cara semuanya berfungsi secara keseluruhan, dengan pengoptimuman bilangan Kuki dan penggantian token apabila separuh masa tiba sebelum Kuki lama (token) tamat tempoh:
SSLVerifyClient optional
#LuaScope thread
#generate event variables zt-cert-date-next
LuaHookAccessChecker /usr/local/etc/apache24/sslincludes/websocket_token.lua handler early
#Π·Π°ΠΏΡΠ΅ΡΠ°Π΅ΠΌ Π±Π΅Π· ΡΠ΅ΡΡΠΈΡΠΈΠΊΠ°ΡΠ° ΡΡΠΎ-ΡΠΎ Π΅ΡΡ, ΠΊΡΠΎΠΌΠ΅ webscoket
RewriteEngine on
RewriteCond %{SSL:SSL_CLIENT_VERIFY} !=SUCCESS
RewriteCond %{HTTP:Upgrade} !=websocket [NC]
RewriteRule .? - [F]
#ErrorDocument 403 "You need a client side certificate issued by CAcert to access this site"
#websocket for safari without certauth
<If "%{SSL:SSL_CLIENT_VERIFY} != 'SUCCESS'">
<If "%{HTTP:Upgrade} = 'websocket'">
SetEnvIf Cookie "zt-cert=([^,;]+),([^,;]+),[^,;]+,([^,;]+)" zt-cert-sha1=$1 zt-cert-date=$2 zt-cert-uid=$3
<RequireAll>
Require expr %{sha1:salt1%{env:zt-cert-date}salt3%{env:zt-cert-uid}salt2} == %{env:zt-cert-sha1}
Require expr %{env:zt-cert-sha1} =~ /^.{40}$/
Require expr %{env:zt-cert-date} -ge %{env:zt-cert-date-now}
</RequireAll>
#Π·Π°ΠΌΠ΅ΡΠ°Π΅ΠΌ Π°Π²ΡΠΎΡΠΈΠ·Π°ΡΠΈΡ ΠΏΠΎ Π²Π»Π°Π΄Π΅Π»ΡΡΡ ΡΠ΅ΡΡΠΈΡΠΈΠΊΠ°ΡΠ° Π½Π° Π°Π²ΡΠΎΡΠΈΠ·Π°ΡΠΈΡ ΠΏΠΎ Π½ΠΎΠΌΠ΅ΡΡ ΠΏΡΠΎΡΠΎΠΊΠΎΠ»Π°
SSLUserName SSl_PROTOCOL
SSLOptions -FakeBasicAuth
</If>
</If>
<If "%{SSL:SSL_CLIENT_VERIFY} = 'SUCCESS'">
<If "%{HTTP:Upgrade} != 'websocket'">
SetEnvIf Cookie "zt-cert=([^,;]+),[^,;]+,([^,;]+)" HAVE_zt-cert-sha1=$1 HAVE_zt-cert-date-halfnow=$2
SetEnvIfExpr "env('HAVE_zt-cert-date-halfnow') -ge %{TIME} && env('HAVE_zt-cert-sha1')=~/.{40}/" HAVE_zt-cert-sha1-found=1
Define zt-cert "path=/;Max-Age=%{env:zt-cert-timeout};HttpOnly;Secure;SameSite=Strict"
Define dates_user "%{env:zt-cert-date-next},%{env:zt-cert-date-halfnext},%{SSL_CLIENT_S_DN_CN}"
Header set Set-Cookie "expr=zt-cert=%{sha1:salt1%{env:zt-cert-date-next}sal3%{SSL_CLIENT_S_DN_CN}salt2},${dates_user};${zt-cert}" env=!HAVE_zt-cert-sha1-found
</If>
</If>
SetEnvIfExpr "env('HAVE_zt-cert-date-halfnow') -ge %{TIME} && env('HAVE_zt-cert-sha1')=~/.{40}/" HAVE_zt-cert-sha1-found=1
ΡΠ°Π±ΠΎΡΠ°Π΅Ρ,
Π° ΡΠ°ΠΊ ΡΠ°Π±ΠΎΡΠ°ΡΡ Π½Π΅ Π±ΡΠ΄Π΅Ρ
SetEnvIfExpr "env('HAVE_zt-cert-date-halfnow') -ge env('zt-cert-date-now') && env('HAVE_zt-cert-sha1')=~/.{40}/" HAVE_zt-cert-sha1-found=1
Kerana LuaHookAccessChecker hanya akan diaktifkan selepas semakan akses berdasarkan maklumat ini daripada Nginx.
Pautan ke sumber.
Satu lagi perkara.
Secara umum, tidak kira dalam susunan arahan yang ditulis dalam konfigurasi Apache (mungkin juga Nginx), kerana pada akhirnya semuanya akan disusun berdasarkan susunan permintaan daripada pengguna, yang sepadan dengan skema untuk pemprosesan Skrip Lua.
Selesai:
Keadaan yang boleh dilihat selepas pelaksanaan (matlamat):
pengurusan perkhidmatan dan infrastruktur tersedia daripada telefon mudah alih pada IOS tanpa program tambahan (VPN), bersatu dan selamat.
Matlamat telah dicapai, websocket berfungsi dan mempunyai tahap keselamatan tidak kurang daripada sijil.
Sumber: www.habr.com