（webSocket）我无法从手机连接到服务器。代码#

Android 9+ (Pie，API 28)默认阻止所有未加密的（ws://， ）连接。http://可以通过添加权限来解决此问题AndroidManifest.xml：

<application android:usesCleartextTraffic="true" />

但这只是临时解决办法，因为谷歌正在积极推动wss://，未来可能会有更严格的限制（如同http://）。最好立即使用它，wss://以避免将来出现问题。

如果您仍然需要它，您可以使用 Let's Encrypt 通过Nginxwss://转发 WebSocket - 然后您将毫无问题地获得真正的 WebSocket 。 Nginx 接受并且服务器继续在 VPS 内部运行。wss://wss://ws://

Let's Encrypt 不为 IP 地址颁发证书，因此您需要注册一个域名并将其指向您的服务器。如果您不想这样做，您可以使用自签名证书。 Android 不信任自签名证书，因此您必须手动将其添加到每个设备。他们说您可以配置 Android 应用程序以信任自签名证书，这样您就不必手动将其添加到每个设备。但是我没有找到 Unity 的说明，只有这一个：使用 Android Native、Android Studio 和 retrofit 在本地网络中信任我自己的自签名证书。

安装 Nginx

sudo apt update
sudo apt install nginx -y

让我们检查一下它是否有效：

systemctl status nginx

如果没有运行，请运行它：

sudo systemctl enable nginx
sudo systemctl start nginx

我们假设您的 C# 应用程序正在某个端口上运行8080并且正在监听ws://123.123.123.123:8080。让我们检查服务器是否在本地运行：

curl -i ws://localhost:8080

（注意）此示例curl用作快速端口可用性检查，而不是成熟的 WebSocket 客户端。curl并不真正支持 WebSocket，因此您会收到如下错误：

HTTP/1.1 400 Bad Request

这是正常的，如果服务器有响应，则表示端口是开放的。

如果 WebSocket 服务器响应ws://123.123.123.123:8080但无法访问ws://localhost:8080，则服务器仅在外部接口上监听。用于0.0.0.0使服务器监听所有连接。

现在让我们从 Let's Encrypt 设置一个免费证书（替换example.com为您的域名）：

sudo apt install certbot python3-certbot-nginx -y
sudo certbot certonly --nginx -d example.com

如果您只有 IP（没有域名），Let's Encrypt 将不会颁发证书。在这种情况下，您将必须使用自签名证书（我将在最后解释）。

证书将保存在：

• /etc/letsencrypt/live/example.com/fullchain.pem
• /etc/letsencrypt/live/example.com/privkey.pem

检查证书是否已安装：

sudo certbot renew --dry-run

将 Nginx 设置为 WebSocket 反向代理

我们使用这里描述的协议切换机制：WebSocket 代理。

让我们创建一个将重定向wss://到的Nginx 配置ws://：

sudo nano /etc/nginx/sites-available/websocket

添加配置（不要忘记将其替换example.com为您的域名）：

server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

    location / {
        proxy_pass http://localhost:8080/;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "Upgrade";
        proxy_set_header Host $host;
    }
}

server {
    listen 80;
    server_name example.com;
    return 301 https://$host$request_uri;
}

激活配置：

sudo ln -s /etc/nginx/sites-available/websocket /etc/nginx/sites-enabled/

让我们检查一下语法：

sudo nginx -t

重新启动Nginx：

sudo systemctl restart nginx

现在您可以连接到wss://example.com而不是ws://123.123.123.123:8080。

通过（WebSocket 客户端）检查wscat：

npm install -g wscat
wscat -c wss://example.com

如果一切正常，你应该会看到连接。

没有域名怎么办？

您可以生成自签名证书：

sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
-keyout /etc/ssl/private/nginx-selfsigned.key \
-out /etc/ssl/certs/nginx-selfsigned.crt

然后替换 Nginx 配置：

ssl_certificate /etc/ssl/certs/nginx-selfsigned.crt;
ssl_certificate_key /etc/ssl/private/nginx-selfsigned.key;

缺点：必须手动将此类证书添加到应用程序中。

是否有可能在没有 Nginx 的情况下将证书连接到 C# 服务器？

您可以配置您的 WebSocket 服务器以直接使用 Let's Encrypt 证书。

安装Certbot并运行命令：

certbot certonly --standalone -d example.com

证书存储在/etc/letsencrypt/live/example.com/fullchain.pem和中privkey.pem。将文件转换pem为 PFX：

openssl pkcs12 -export -out certificate.pfx -inkey privkey.pem -in fullchain.pem

现在您可以下载SslStream证书：

var certificate = new X509Certificate2("certificate.pfx", "your_password");

var listener = new TcpListener(IPAddress.Any, 443);
listener.Start();

while (true)
{
    var client = await listener.AcceptTcpClientAsync();
    var sslStream = new SslStream(client.GetStream());
    await sslStream.AuthenticateAsServerAsync(certificate);
}

如果您将ASP.NET Core 与 Kestrel结合使用，请参阅文档的SSL/TLS 协议部分。

Let's Encrypt 颁发的证书有效期为 90 天，因此您需要自动续订。按计划执行命令：

certbot renew --quiet

您可以将其添加到cron ( crontab -e) 中：

0 0 * * 1 certbot renew --quiet && systemctl restart myapp

优点：

• 无第三方代理

缺点：

• 证书需要手动（或自动）更新
• 该服务器必须可以从外部访问（Certbot 需要端口80或443）。