workman报错error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown

```
SSL handshake error: stream_socket_enable_crypto(): SSL operation failed with code 1. OpenSSL Error messages:
error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown
```
出错原因是直接使用Workerman开启SSL，据说是由于安全原因官方不支持ssl3,导致错误。官方不推荐直接用workman配置ssl。 而且这种方法需要在http和ws分别指定域名证书比较麻烦。

#### 官方推荐：利用nginx/apache代理SSL
通讯原理及流程

1、客户端发起wss连接连到nginx/apache

2、nginx/apache将wss协议的数据转换成ws协议数据并转发到Workerman的websocket协议端口

3、Workerman收到数据后做业务逻辑处理

4、Workerman给客户端发送消息时，则是相反的过程，数据经过nginx/apache转换成wss协议然后发给客户端

nginx配置参考
前提条件及准备工作：

1、已经安装nginx，版本不低于1.3

2、假设Workerman监听的是8282端口(websocket协议)

3、已经申请了证书（pem/crt文件及key文件）假设放在了/etc/nginx/conf.d/ssl下

4、打算利用nginx开启443端口对外提供wss代理服务（端口可以根据需要修改）

5、nginx一般作为网站服务器运行着其它服务，为了不影响原来的站点使用，这里使用地址 域名.com/wss 作为wss的代理入口。也就是客户端连接地址为 wss://域名.com/wss

nginx配置类似如下：
```
server {
  listen 443;
  # 域名配置省略...

ssl on;
  ssl_certificate /etc/ssl/server.pem;
  ssl_certificate_key /etc/ssl/server.key;
  ssl_session_timeout 5m;
  ssl_session_cache shared:SSL:50m;
  ssl_protocols SSLv3 SSLv2 TLSv1 TLSv1.1 TLSv1.2;
  ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;

location /wss
  {
    proxy_pass http://127.0.0.1:8282;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "Upgrade";
    proxy_set_header X-Real-IP $remote_addr;
  }

# location / {} 站点的其它配置...
}
```
测试
```
// 证书是会检查域名的，请使用域名连接。注意这里不写端口
ws = new WebSocket("wss://域名.com/wss");

ws.onopen = function() {
    alert("连接成功");
    ws.send('tom');
    alert("给服务端发送一个字符串：tom");
};
ws.onmessage = function(e) {
    alert("收到服务端的消息：" + e.data);
};
```
利用apache代理wss
也可以利用apache作为wss代理转发给workerman。

准备工作：

1、GatewayWorker 监听 8282 端口(websocket协议)

2、已经申请了ssl证书, 假设放在了/server/httpd/cert/ 下

3、利用apache转发443端口至指定端口8282

4、httpd-ssl.conf 已加载

5、openssl 已安装

启用 proxy_wstunnel_module 模块
```
LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_wstunnel_module modules/mod_proxy_wstunnel.so
```
配置SSL及代理
```
#extra/httpd-ssl.conf
DocumentRoot "/网站/目录"
ServerName 域名

# Proxy Config
SSLProxyEngine on

ProxyRequests Off
ProxyPass /wss ws://127.0.0.1:8282/wss
ProxyPassReverse /wss ws://127.0.0.1:8282/wss

# 添加 SSL 协议支持协议,去掉不安全的协议
SSLProtocol all -SSLv2 -SSLv3
# 修改加密套件如下
SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM
SSLHonorCipherOrder on
# 证书公钥配置
SSLCertificateFile /server/httpd/cert/your.pem
# 证书私钥配置
SSLCertificateKeyFile /server/httpd/cert/your.key
# 证书链配置,
SSLCertificateChainFile /server/httpd/cert/chain.pem
```
测试
```
// 证书是会检查域名的，请使用域名连接。注意没有端口
ws = new WebSocket("wss://域名.com/wss");

ws.onopen = function() {
    alert("连接成功");
    ws.send('tom');
    alert("给服务端发送一个字符串：tom");
};
ws.onmessage = function(e) {
    alert("收到服务端的消息：" + e.data);
};
```

官方文档：https://www.workerman.net/doc/workerman/faq/secure-websocket-server.html