Node.js websocket クライアント認証

サーバ側

var https = require(‘https’);

var fs = require(‘fs’);
var ssl_server_crt = ‘/etc/pki/CA/certs/せｒヴぇｒ-ca.crt’;
var ssl_server_key = ‘/etc/pki/CA/private/せｒヴぇｒ.key’;
var ssl_ca_crt = ‘/etc/pki/CA/cacert.pem’;
var port = 443;

var options = {
key: fs.readFileSync(ssl_server_key),
cert: fs.readFileSync(ssl_server_crt),
ca: [fs.readFileSync(ssl_ca_crt)],
requestCert: true,
rejectUnauthorized : true,
};

var servers = https.createServer(options, function (req,res) {
fs.createReadStream(“index.html”).pipe(res);
}).listen(port);

var wss = new WebSocketServer({server:servers});

クライアント側

var fs = require(‘fs’);
var https = require(‘https’);
var WebSocket = require(‘ws’);

var ssl_client_crt = ‘/etc/pki/CA/client/certs/client.crt’;
var ssl_client_key = ‘/etc/pki/CA/client/private/client.key’;
var ssl_ca_crt = ‘/etc/pki/CA/cacert.pem’;
var ssl_client_pfx = ‘/etc/pki/CA/client/private/client.pfx’;

var options = {
ca : fs.readFileSync(ssl_ca_crt),
agent: false,

// key&certの指定
key : fs.readFileSync(ssl_client_key),
cert : fs.readFileSync(ssl_client_crt),
passphrase : ‘xxxxx’,

// 又は、pfxの指定
// passphrase : ‘xxxx’,
// pfx : fs.readFileSync(ssl_client_pfx),
};

var ws = new WebSocket(‘wss://xxxxx:443/’, null, options);

CentOS6.6 クライアント証明書 curl wget

コメントを残す

クライアント証明書にパスフレーズが含まれていると、

curlがエラーとなる

openssl pkcs12 -in client.pfx -out client.cert.pem -clcerts

curl https://xxxxx/ –cacert /etc/pki/CA/cacert.pem -E /etc/pki/CA/client/private/client.cert.pem
curl: (58) Unable to load client key -8178

curl https://xxxxx/ –cacert /etc/pki/CA/cacert.pem –cert /etc/pki/CA/client/certs/client.crt
curl: (58) Unable to load client key -8178.

curl https://xxxxx/ –cacert /etc/pki/CA/cacert.pem –cert /etc/pki/CA/client/certs/client.crt –key /etc/pki/CA/client/private/client.key
curl: (58) Unable to load client key -8178.

以下参照。

http://hogem.hatenablog.com/entry/2015/09/28/233000

http://stackoverflow.com/questions/20969241/curl-58-unable-to-load-client-key-8178

パスフレーズを外すと成功した

openssl rsa -in myclient.dev.furoom.net.key -out client.key.nopass
curl https://xxxxx/ –cacert /etc/pki/CA/cacert.pem –cert /etc/pki/CA/client/certs/client.crt –key /etc/pki/CA/client/private/client.key.nopass
→OK

wgetはパスフレーズ有りで成功した

wget -O – https://xxxxx/ –ca-certificate /etc/pki/CA/cacert.pem –certificate /etc/pki/CA/client/private/client.cert.pem

redis ライブラリ性能

コメントを残す

1. php phpredis

2. php predis

3. php predis-async

4. node.js redis

publish → subscribe までの時間

phpredis クライアントから26Mのファイル送信

クライアントpublish 0.3sec

1. 0.2sec

2. 0.5sec

3. 40sec ? 遅すぎ？

4. 4sec

ちなみにpublishにかかる時間

1. 0.3sec

2. 0.3sec

3. 35sec ? 遅すぎ？

4. 0.3sec

※上記複数クライアントを接続していたため、クライアント数を減らすと多少早くなる

——–

pubsub

お互いにsubscribe

subscribeを受けたら、publish

10000msg , 28byteデータ送信

1. node.js redis – node.js redis間

2. node.js redis – php phpredis間

2. node.js redis – php predis間

2. node.js redis – php predis-async間

結果

1.

pub完了 9041msg/sec

sub完了 7886msg/sec

2.

pub完了 12853msg/sec

sub完了 11834msg/sec

3.

pub完了 8319msg/sec

sub完了 6230msg/sec

4.

pub完了 8818msg/sec

sub完了 7342msg/sec

——–

ws-pubsub

wsからsend

お互いにsubscribe

subscribeを受けたら、publish

10000msg , 28byteデータ送信

1. node.js ws-client -> node.js ws-server & redis -> php phpredis

node.js ws-client <- node.js ws-server & redis <- php phpredis

ws-client 受信完了 1207msg/sec

ws-server pub完了 1216msg/sec

ws-server sub完了 1215msg/sec

phpredis pub完了 1216msg/sec

※redis-cli monitorで見ると、pubsub双方向は並列処理

※サーバは1cpu

predis-async

コメントを残す

predis-async を使った性能評価

同一サーバでpredis-asyncベースのクライアント／サーバ間でpub/sub

1.publish片方向

2.publish双方向

3.publish+lpush

※ appendonly yes 設定

1000msg送信を10回、その最大／最少

message size ：28byte

1. 7405 – 8411 msg/sec

2. 4713 – 4951 msg/sec

3. 2697 – 3395 msg/sec

message size 4051byte

1. 6305 – 8042 msg/sec

2. 4217 – 4824 msg/sec

3. 2880 – 3129 msg/sec

Nginx

コメントを残す

yum -y install pcre-devel
yum install openssl-devel
yum install gcc

wget http://nginx.org/download/nginx-1.9.4.tar.gz
tar xvzf nginx-1.9.4.tar.gz
cd nginx-1.9.4
./configure --with-http_ssl_module
make
make install

SSLを使うときは、上記のオプション追加

vi ~/.bash_profile
source ~/.bash_profile

vi /usr/local/nginx/conf/nginx.conf

nginx


SSL設定
$ sudo sh -c "openssl genrsa 2048 &gt; ssl.key"
$ sudo sh -c "openssl req -new -key ssl.key &gt; ssl.csr"
$ sudo sh -c "openssl x509 -days 3650 -req -signkey ssl.key &lt; ssl.csr &gt; ssl.crt"

CA認証局
/etc/pki/tls/misc/CA -newca

＃再作成は以下を削除
rm -rf /etc/pki/CA/

[注意]：　サーバ証明書を作成する場合、以下の2点を守らないと失敗するので注意が必要です。

CA用秘密鍵とサーバ用秘密鍵のパスフレーズは異なるものを使用すること。
CA証明書とサーバ証明書のON(Organization Name)は、異なる名称とすること。


sed -i "s/365/3650/g" /etc/pki/tls/openssl.cnf
sed -i "s/365/3650/g" /etc/pki/tls/misc/CA
sed -i "s/1095/3650/g" /etc/pki/tls/misc/CA

sha256にするのは、以下を参考
<a href="http://www.viva-musen.net/archives/21025477.html">http://qiita.com/kgbu/items/44535b31c0f1a062693d</a>
cp vi /etc/pki/tls/openssl.cnf vi /etc/pki/tls/openssl.cnf.org
cp /etc/pki/tls/openssl.cnf /etc/pki/tls/openssl.cnf.org
vi /etc/pki/tls/openssl.cnf

cp -p /etc/pki/tls/openssl.cnf /etc/pki/tls/openssl-ca.cnf
vi /etc/pki/tls/openssl-ca.cnf

SSLEAY_CONFIG="-config /etc/pki/tls/openssl-ca.cnf" /etc/pki/tls/misc/CA -newca

cp -p /etc/pki/tls/openssl.cnf /etc/pki/tls/openssl-server.cnf
vi /etc/pki/tls/openssl-server.cnf
SSLEAY_CONFIG="-config /etc/pki/tls/openssl-server.cnf" /etc/pki/tls/misc/CA -newreq

SSLEAY_CONFIG="-config /etc/pki/tls/openssl-server.cnf" /etc/pki/tls/misc/CA -sign
mv /etc/pki/tls/newcert.pem /etc/pki/CA/certs/dev.furoom.net.crt

openssl rsa -in /etc/pki/tls/newkey.pem -out /etc/pki/CA/private/dev.furoom.net.key

cp -p /etc/pki/tls/openssl.cnf /etc/pki/tls/openssl-client.cnf
vi /etc/pki/tls/openssl-client.cnf
SSLEAY_CONFIG="-config /etc/pki/tls/openssl-client.cnf" /etc/pki/tls/misc/CA -newreq

SSLEAY_CONFIG="-config /etc/pki/tls/openssl-client.cnf" /etc/pki/tls/misc/CA -sign
openssl pkcs12 -export -in newcert.pem -inkey newkey.pem -out myclient.dev.furoom.net.pfx -name "dev.furoom.net"

mkdir -p /etc/pki/CA/client/certs/
mkdir -p /etc/pki/CA/client/private/
mv /etc/pki/tls/newcert.pem /etc/pki/CA/client/certs/myclient.dev.furoom.net.crt
mv /etc/pki/tls/newreq.pem /etc/pki/CA/client/private/myclient.dev.furoom.net.csr
mv /etc/pki/tls/newkey.pem /etc/pki/CA/client/private/myclient.dev.furoom.net.key
mv /etc/pki/tls/myclient.dev.furoom.net.pfx /etc/pki/CA/client/private/.


#追記
メールとTCPロードバランサ
./configure --with-http_ssl_module --with-mail --with-stream --with-stream_ssl_module
make
make install

nginx -s stop
nginx -t
nginx

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79

80

81

82

83

84

85

86

yum -y install pcre-devel

yum install openssl-devel

yum install gcc

wget http://nginx.org/download/nginx-1.9.4.tar.gz

tar xvzf nginx-1.9.4.tar.gz

cd nginx-1.9.4

./configure --with-http_ssl_module

make

make install

SSLを使うときは、上記のオプション追加

vi ~/.bash_profile

source ~/.bash_profile

vi /usr/local/nginx/conf/nginx.conf

nginx

SSL設定

$ sudo sh -c "openssl genrsa 2048 > ssl.key"

$ sudo sh -c "openssl req -new -key ssl.key > ssl.csr"

$ sudo sh -c "openssl x509 -days 3650 -req -signkey ssl.key < ssl.csr > ssl.crt"

CA認証局

/etc/pki/tls/misc/CA -newca

＃再作成は以下を削除

rm -rf /etc/pki/CA/

[注意]：　サーバ証明書を作成する場合、以下の2点を守らないと失敗するので注意が必要です。

CA用秘密鍵とサーバ用秘密鍵のパスフレーズは異なるものを使用すること。

CA証明書とサーバ証明書のON(Organization Name)は、異なる名称とすること。

sed -i "s/365/3650/g" /etc/pki/tls/openssl.cnf

sed -i "s/365/3650/g" /etc/pki/tls/misc/CA

sed -i "s/1095/3650/g" /etc/pki/tls/misc/CA

sha256にするのは、以下を参考

<a href="http://www.viva-musen.net/archives/21025477.html">http://qiita.com/kgbu/items/44535b31c0f1a062693d</a>

cp vi /etc/pki/tls/openssl.cnf vi /etc/pki/tls/openssl.cnf.org

cp /etc/pki/tls/openssl.cnf /etc/pki/tls/openssl.cnf.org

vi /etc/pki/tls/openssl.cnf

cp -p /etc/pki/tls/openssl.cnf /etc/pki/tls/openssl-ca.cnf

vi /etc/pki/tls/openssl-ca.cnf

SSLEAY_CONFIG="-config /etc/pki/tls/openssl-ca.cnf" /etc/pki/tls/misc/CA -newca

cp -p /etc/pki/tls/openssl.cnf /etc/pki/tls/openssl-server.cnf

vi /etc/pki/tls/openssl-server.cnf

SSLEAY_CONFIG="-config /etc/pki/tls/openssl-server.cnf" /etc/pki/tls/misc/CA -newreq

SSLEAY_CONFIG="-config /etc/pki/tls/openssl-server.cnf" /etc/pki/tls/misc/CA -sign

mv /etc/pki/tls/newcert.pem /etc/pki/CA/certs/dev.furoom.net.crt

openssl rsa -in /etc/pki/tls/newkey.pem -out /etc/pki/CA/private/dev.furoom.net.key

cp -p /etc/pki/tls/openssl.cnf /etc/pki/tls/openssl-client.cnf

vi /etc/pki/tls/openssl-client.cnf

SSLEAY_CONFIG="-config /etc/pki/tls/openssl-client.cnf" /etc/pki/tls/misc/CA -newreq

SSLEAY_CONFIG="-config /etc/pki/tls/openssl-client.cnf" /etc/pki/tls/misc/CA -sign

openssl pkcs12 -export -in newcert.pem -inkey newkey.pem -out myclient.dev.furoom.net.pfx -name "dev.furoom.net"

mkdir -p /etc/pki/CA/client/certs/

mkdir -p /etc/pki/CA/client/private/

mv /etc/pki/tls/newcert.pem /etc/pki/CA/client/certs/myclient.dev.furoom.net.crt

mv /etc/pki/tls/newreq.pem /etc/pki/CA/client/private/myclient.dev.furoom.net.csr

mv /etc/pki/tls/newkey.pem /etc/pki/CA/client/private/myclient.dev.furoom.net.key

mv /etc/pki/tls/myclient.dev.furoom.net.pfx /etc/pki/CA/client/private/.

#追記

メールとTCPロードバランサ

./configure --with-http_ssl_module --with-mail --with-stream --with-stream_ssl_module

make

make install

nginx -s stop

nginx -t

nginx

Node.js forever

コメントを残す

sudo -s

npm install forever -g

forever start index.js

forever list

forever stop index.js

forever restart index.js

forever log index.js

表示されたログファイルをtailf

php7

コメントを残す

PHPのインストール

関連ライブラリのインストール

yum install libxml2-devel

yum install libpng-devel

yum install libicu-devel

yum install libmcrypt-devel

yum install libxslt-devel

PHPのインストール

wget https://downloads.php.net/~ab/php-7.0.0beta2.tar.xz

tar Jxf php-7.0.0beta2.tar.xz

cd php-7.0.0beta2

./configure –prefix=/usr/local/php-7.0.0beta2 –enable-bcmath –enable-calendar –enable-gd-jis-conv –enable-gd-native-ttf –enable-intl –enable-mbstring –enable-mbregex –enable-pcntl –enable-soap –with-curl –with-freetype-dir –with-gettext –with-gd –with-jpeg-dir –with-libxml-dir –with-mcrypt –with-mhash –with-openssl –with-pcre-dir –with-png-dir –with-readl
ine –with-xsl –with-zlib

※mysql はwarningが出たので外した

※pearもテストでエラーになったので外した

make

make test

make install

ユーザー追加

コメントを残す

useradd nilesflow -m

passwd nilesflow

visudo

nilesflow ALL=(ALL) ALL

http://qiita.com/dahugani/items/e1fc5c212bf6a7365f8f

socket.io

コメントを残す

http://socket.io/get-started/chat/

Node.js をインストール

npm -v
2.11.3

npm install socket.io

Node.js

コメントを残す

linux に node.js をインストール

参考：

http://qiita.com/moris/items/4850d4e19392186e34f0

yum install gcc

yum install gcc-c++

node.js

https://nodejs.org/download/

wget https://nodejs.org/dist/v0.12.7/node-v0.12.7.tar.gz
tar xvzf node-v0.12.7.tar.gz
cd node-v0.12.7
./configure –prefix=/usr/local
make
make install