Openresty之动态更新https证书

最新推荐文章于 2025-05-08 16:47:01 发布
最新推荐文章于 2025-05-08 16:47:01 发布
阅读量1.8k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: linux 文章标签: https openresty nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u013896064/article/details/128705381
文章介绍了如何在不中断服务的情况下,通过Lua脚本来动态更新OpenResty(Nginx)的HTTPS证书和密钥。主要步骤包括编写lua脚本,清除原有证书,读取新的PEM或DER格式的证书数据,然后通过`ssl.set_cert`和`ssl.set_priv_key`设置新证书和私钥。最后修改nginx.conf配置文件引入lua脚本。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

       如果是第一次看这个文章,可以先看下这篇openresty介绍性的文章:Openresty宏观介绍

         没用过openresty的人可能不知道这个是干啥的,但是用过的人大概就明白这个到底是个啥。在此简单说一下,openresty功能和Nginx功能一样,在用户如果需要做https访问的时候,需要在Nginx的配置文件nginx.conf文件里面配置证书和对应的KEY秘钥,这样Nginx才能提供https的访问请求。那么此时可能有这么一个需求,证书过期或者其他什么原因需要在不停止服务的情况下更改证书和秘钥,实现动态更改证书和秘钥的功能。实现如下功能需要下面几步

  • 编写lua脚本文件,在脚本文件里面去修改证书和密钥
  • 拷贝lua文件到openresty的安装路径
  • 修改nginx.conf文件,引入lua脚本,实现动态更新证书

一般证书/私钥的格式分两种,一种是文本格式的 PEM,另一种是二进制格式的 DER

1、编写lua脚本

命名脚本文件为ssl.lua,如果证书是PEM格式的话,通过如下方法更新证书和私钥:

local ssl = require "ngx.ssl"

-- 清除之前设置的证书和私钥
local ok, err = ssl.clear_certs()
if not ok then
    ngx.log(ngx.ERR, "failed to clear existing (fallback) certificates")
    return ngx.exit(ngx.ERROR)
end

-- 获取证书内容,比如 io.open("my.crt"):read("*a")
local cert_data, err = get_my_pem_cert_data()
if not cert_data then
    ngx.log(ngx.ERR, "failed to get PEM cert: ", err)
    return
end

-- 解析出 cdata 类型的证书值,你可以用 lua-resty-lrucache 缓存解析结果
local cert, err = ssl.parse_pem_cert(cert_data)
if not cert then
    ngx.log(ngx.ERR, "failed to parse PEM cert: ", err)
    return
end

local ok, err = ssl.set_cert(cert)
if not ok then
    ngx.log(ngx.ERR, "failed to set cert: ", err)
    return
end

local pkey_data, err = get_my_pem_priv_key_data()
if not pkey_data then
    ngx.log(ngx.ERR, "failed to get DER private key: ", err)
    return
end

local pkey, err = ssl.parse_pem_priv_key(pkey_data)
if not pkey then
    ngx.log(ngx.ERR, "failed to parse pem key: ", err)
    return
end

local ok, err = ssl.set_priv_key(pkey)
if not ok then
    ngx.log(ngx.ERR, "failed to set private key: ", err)
    return
end

备注:里面的get_my_pem_cert_data函数是获取证书函数,此处没有原函数,用户根据自己情况获取,有些是文件直接读取,有些是网络请求获取,有些是字符串直接使用。

如果证书格式是DER的话,使用如下代码进行动态更新

local ssl = require "ngx.ssl"

-- 清除之前设置的证书和私钥
local ok, err = ssl.clear_certs()
if not ok then
    ngx.log(ngx.ERR, "failed to clear existing (fallback) certificates")
    return ngx.exit(ngx.ERROR)
end

-- 获取证书内容,比如 io.open("my.crt.der"):read("*a")
local cert_data, err = get_my_der_cert_data()
-- 你也可以把 pem 格式的证书直接转换成 der 格式的,像这样:
-- local cert_pem_data = get_my_pem_cert_data()
-- local cert_data, err = ssl.cert_pem_to_der(cert_pem_data)
if not cert_data then
    ngx.log(ngx.ERR, "failed to get DER cert: ", err)
    return
end

-- 这里的 cert_data 是 string 类型的,所以可以直接缓存到 lua_shared_dict 当中
local ok, err = ssl.set_der_cert(cert_data)
if not ok then
    ngx.log(ngx.ERR, "failed to set DER cert: ", err)
    return
end

local pkey_data, err = get_my_der_priv_key_data()
-- 你也可以把 pem 格式的私钥直接转换成 der 格式的,像这样:
-- local pkey_pem_data = get_my_pem_priv_key_data()
-- local pkey_data, err = ssl.priv_key_pem_to_der(pkey_pem_data)
if not pkey_data then
    ngx.log(ngx.ERR, "failed to get DER private key: ", err)
    return
end

local ok, err = ssl.set_der_priv_key(pkey_data)
if not ok then
    ngx.log(ngx.ERR, "failed to set DER private key: ", err)
    return
end

2、拷贝lua文件到openresty安装目录

拷贝编辑的ssl.lua文件到目录/usr/local/openresty/nginx/lua/下面,如果没有,新建一个这个路径

3、修改nginx.conf文件

修改路径/usr/local/openresty/nginx/nginx.conf文件的内容如下:

#user  nobody;
worker_processes  1;

error_log  logs/error.log  error;
error_log  logs/error.log  notice;
error_log  logs/error.log  info;
pid        logs/nginx.pid;

events {
    worker_connections  1024;
}

env SERVER_ADDR;
env SERVER_ADDR_TOKEN;


http {
    include       mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                     '$status $body_bytes_sent "$http_referer" '
                     '"$http_user_agent" "$http_x_forwarded_for"';
    # access_log  logs/access.log  main;
    # error_log   logs/error.log error; 

    lua_package_path "/usr/local/openresty/lualib/?.lua;/usr/local/openresty/nginx/lua/?.lua;";
    lua_package_cpath "/usr/local/openresty/lualib/?.so;;";


    sendfile        on;
    #tcp_nopush     on;

    #keepalive_timeout  0;
    keepalive_timeout  65;
    proxy_connect_timeout 3s;

    #gzip  on;

   
    # HTTPS server
    server {
       listen       443 ssl;
       server_name  localhost;

       ssl_certificate      server.crt;
       ssl_certificate_key  server.key;
       ssl_certificate_by_lua_file lua/ssl.lua;

       ssl_session_cache    shared:SSL:1m;
       ssl_session_timeout  5m;

       ssl_ciphers  HIGH:!aNULL:!MD5;
       ssl_prefer_server_ciphers  on;

       location / {
            #设置代理目的url变量
            proxy_pass https://127.0.0.1;
       }
 
    }

}

最重要的两句代码就是上面的

lua_package_path "/usr/local/openresty/lualib/?.lua;/usr/local/openresty/nginx/lua/?.lua;";

ssl_certificate_by_lua_file lua/ssl.lua;

第一句是添加lua代码的路径,第二句代码是指定ssl请求的lua文件,意思就是所有的ssl访问请求都会经过ssl.lua代码文件的代码操作,在里面去动态修改证书。

openresty/lua 动态更新证书
machh的专栏
10-09 312
先列个提纲,后面补充详细内容。
记录openresty nginx安装ssl证书 配置https
Javaxiaowang的博客
01-19 2190
记录openresty nginx安装ssl证书 配置https1.0 前言2.0 具体实现2.1 安装步骤2.2 配置nginx配置文件 1.0 前言 因需对接微信小程序接口,小程序需要https,所以需要配置ssl证书 我这里选用openresty 2.0 具体实现 我这里用的是阿里云ssl ,我选用免费版的 2.1 安装步骤 1 先登录到ssl管理后台 选择创建好的证书 2 点击下载 我这里选择nginx 版本的 3 上传 证书和秘钥 在nginx配置文件目录下 mkdir c
openresty配置https自签名证书
m0_58775546的博客
05-21 2790
如何自制https
Linux服务升级:OpenResty 升级1.25.3.1版本
cronaldo91的博客
05-13 3518
子目录(app、conf、logs)分别用来存放编写的应用程序、配置文件、日志文件。(1) 在conf下新建nginx_new.conf文件。(1) 继续修改nginx_new.conf文件内容。(2) app目录下创建black_v2.lua文件。(2) 在conf下创建nginx.conf文件。(1) 在conf下修改nginx.conf文件。(6)继续修改nginx_new.conf文件内容。(7)app目录下创建black_v1.lua文件。(1) 在conf下修改nginx.conf文件。
Nginx 安全防护与 HTTPS 部署详解
2501_91112123的博客
05-08 1102
HTTPS 通过 SSL/TLS 加密协议,确保数据在客户端与服务器之间传输的安全性和完整性,能够有效防止数据被窃取、篡改,提升用户信任度,同时也是搜索引擎优化(SEO)的重要因素。在实际应用中,需持续关注安全动态,及时更新配置和证书,以应对不断变化的网络安全挑战,为用户提供安全、高效的 Web 服务体验。此外,关注 Nginx 官方发布的安全公告,及时更新 Nginx 版本,修复安全漏洞。例如,当发现服务器遭受攻击时,立即隔离受影响的服务,备份相关日志和数据,然后进行漏洞修复和系统恢复。
基于openresty配置https访问
weixin_30725315的博客
08-21 370
安装方法:http://openresty.org/cn/linux-packages.html 1. openssl的版本信息 [root@localhost conf]# openssl version OpenSSL 1.0.1e-fips 11 Feb 2013 2. openresty的版本信息 [root@localhost sbin]#...
基于docker升级openresty1.21.4.1
m0_60615714的博客
08-10 1503
docker,openresty升级,openresty-1.21.4.1
基于openrestyhttps配置实践(openssl生成证书)
thinker
10-16 1423
HTTPS需要的证书,必须是认证机构颁发的,这里的配置实践,也是从技术路线上的一次操作,证书是基于openssl生成的。没有谁颁发,自建得之!开始实践!!!! 1. openssl的版本信息 [root@localhost conf]# openssl version OpenSSL 1.0.1e-fips 11 Feb 2013 2. openresty的版本信息 [root@localhost sbin]# ./nginx -V nginx version: openresty/1.1
openresty服务器】:源码编译openresty支持ssl,增加service系统服务,开机启动,自己本地签名证书,配置https访问
freewebsys的专栏
02-11 711
如果我们在配置文件nginx.conf中使用了正则表达式,那么在编译Nginx时就必须把PCRE库编译进Nginx,因为Nginx的HTTP模块需要靠它来解析正则表达式。zlib库用于对HTTP包的内容做gzip格式的压缩,如果我们在nginx.conf中配置了gzip on,并指定对于某些类型(content-type)的HTTP响应使用gzip来进行压缩以减少网络传输量,则在编译时就必须把zlib编译进Nginx。通过以上步骤,您可以在OpenResty中成功配置SSL,使网站支持HTTPS协议。
OpenResty Manager(Docker预加载镜像)
最新发布
05-15
OpenResty Manager 是一个基于 OpenResty 框架构建的开源 Web 管理平台,旨在为用户提供一个简洁而强大的 Web 服务器管理界面。OpenResty 本身是一个将 Nginx 与 LuaJIT 高性能执行环境集成的平台,具有出色的数据...
java发送https请求_避坑!OpenResty发送https请求
weixin_39719989的博客
12-01 343
一开始觉得这个问题挺简单的,就是和http请求一样,无非就是把http改成https, 所以也是这么做的,然后发现,太草率了~事情没那么简单,应该也算是被Python好用的体系给带节奏了,对一些类库细节没有做过多的了解。这次在OpenResty里用的是resty/http的库,按照正常情况下做请求,如下local zhttp = require "resty.http"local msg_http...
lua+nginx动态更新配置.zip
04-03
配置为全局生效,即需对所有工作进程共享。更新频率比较慢,使用lua_shared_dict进行存储。如下定义: lua_shared_dict sysconfig 10k; 成员包括: "time":配置文件的生成的时间戳(用来判断文件是否有更新)eg:1585209315 "kxsip":与可信控制服务数据交互IP地址eg:192.168.0.1 "kxsport":与可信控制服务数据交互端口eg:8001 "gettokenapi":请求userID对应的token的API接口eg:https://192.168.5.4:2233/token "ssourl":SSO服务器地址eg: https://12.52.46.82:5555/login 。。。 在nginx初始化中使用init_worker_by_lua_file 指令创建一个循环定时器,每次超时的时候去判断配置文件是否更新了。如果更新了重新加载。 通过在工作线程中使用rewrite_by_lua_block指令,获取任意时刻的配置情况测试代码的可用性。
基于Openresty进行配置https,配置https后能够对传输的文本进行加密传输(http请求转换为https请求)
qq_36532540的博客
12-30 2764
一、配置https 1、默认openresty、openssl已经安装完成,我在/usr/local/openresty/nginx/conf/目录下创建一个cert文件夹用来存放证书和服务器私钥(可根据自己情况而定)。 [root@ZYL conf]# pwd /usr/local/openresty/nginx/conf [root@ZYL conf]# ls cert ...
OpenResty概述
诚的博客
10-25 569
OpenResty®是一个基于Nginx与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关。 OpenResty®通过汇聚各种设计精良的Nginx模块(主要由 OpenResty 团队自主开发),从而将Nginx有效地变成一个强大的通用 Web 应用平台。这样,Web 开发人员和系统工程师可以使用 Lua 脚本语言调动Nginx支持的各种 C 以及 ...
6、openrestynginx平滑升级
u012573437的博客
12-26 1184
把服务器从低版本升级为高版本,强行停止服务器,会影响正在运行的进程。 平滑升级不会停掉正在进行中的进程,这些进程会继续处理请求。但不会再接受新请求,这些老的进程在处理完请求之后 会停止。此平滑升级过程中,新开的进程会被处理。 一、平滑升级 进入nginx可执行程序的目录 # cd /usr/local/nginx/sbin/ # ./nginx -V #查看nginx版本 1、下载高版本ng...
openresty配置ssl证书
TechTrek
05-22 5425
1.安装openresty与openssl安装参考 2.证书生成 创建服务器私钥,命令会让你输入一个口令: openssl genrsa -des3 -out ca.key 1024 创建签名请求的证书(CSR): openssl req -new -key ca.key -out ca.csr 在加载SSL支持的Nginx并使用上述私钥时除去必须的口令: cp ca.key ca.k
自动申请(并自动更新)免费ssl证书Openresty镜像
xiaojun207的博客
12-21 1249
这是一个可以自动申请(并自动更新)免费ssl证书Openresty镜像。证书申请和更新使用的是开源工具acme.sh。你可以设置证书服务商:zerossl, letsencrypt,buypass,ssl等等,当然,你也可以把它当普通的openresty镜像使用。
基于Nginx的可伸缩web平台openrestyhttps代理和报文日志打印服务【记录踩坑全过程】
奈何的人生
04-11 2518
先听故事,后学知识。本文详细记录openrestyhttps代理和报文日志打印服务并附有全踩坑过程,看完后让你后路平坦,一路顺风~
openresty 如何保留https
04-23
### 使用 OpenResty 配置保留 HTTPS 连接的方法 在使用 OpenResty 处理 HTTPS 请求时,通常需要配置 Nginx 的 `ssl` 模块以支持 SSL/TLS 加密通信。以下是详细的配置方法: #### 1. 安装必要的依赖项 在安装 OpenResty 前,需确保已安装所需的开发库,特别是与 SSL 和 TLS 支持相关的库。可以通过以下命令完成安装: ```bash yum install -y pcre-devel openssl-devel gcc --skip-broken ``` 此步骤确保系统具备编译和运行 OpenResty 所需的基础环境[^1]。 #### 2. 编辑 OpenResty 的配置文件 OpenResty 是基于 Nginx 开发的高性能 Web 平台,其核心仍然是 Nginx 的配置语法。为了保留 HTTPS 连接,需要在 `nginx.conf` 文件中启用并正确配置 SSL 参数。 以下是一个典型的 HTTPS 配置示例: ```nginx server { listen 443 ssl; # 监听 HTTPS 默认端口 server_name example.com; # SSL 证书路径 ssl_certificate /path/to/your/certificate.crt; ssl_certificate_key /path/to/your/private.key; # 提升安全性的一些推荐设置 ssl_protocols TLSv1.2 TLSv1.3; # 禁用旧版本协议 ssl_ciphers HIGH:!aNULL:!MD5; # 设置强加密算法 ssl_session_cache shared:SSL:10m; # 启用会话缓存 ssl_session_timeout 10m; location / { proxy_pass http://backend_server; # 将请求转发至后端服务 proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; # 确保后端知道原始协议是 HTTPS } } ``` 在此配置中,`listen 443 ssl` 表明该服务器块监听 HTTPS 流量,并启用了 SSL 功能。通过指定 `ssl_certificate` 和 `ssl_certificate_key` 来提供有效的 SSL 证书及其私钥[^4]。 #### 3. 确保反向代理保持 HTTPS 协议 如果 OpenResty 作为反向代理工作,则需要告知后端应用当前请求来自 HTTPS。这可通过设置头字段 `X-Forwarded-Proto` 实现,如下所示: ```nginx proxy_set_header X-Forwarded-Proto $scheme; ``` 这样可以保证即使流量被转发到内部网络中的 HTTP 服务,后端仍能够识别原始请求是否为 HTTPS[^3]。 #### 4. 测试与重启服务 完成以上配置后,应验证配置文件的有效性并重新加载 OpenResty/Nginx 服务: ```bash ./nginx -t # 测试配置文件是否有错误 ./nginx -s reload # 如果无误则重载新配置 ``` #### 注意事项 - 若防火墙未关闭,请确认允许外部设备访问服务器上的 443 端口。 - 对于云平台部署场景,还需调整实例的安全组规则以便放通入站方向针对 TCP 443 的流量[^2]。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值