OpenResty之ngx.ssl

最新推荐文章于 2025-06-16 23:49:48 发布
转载 最新推荐文章于 2025-06-16 23:49:48 发布 · 896 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/jimodetiantang/p/9260698.html
文章标签:

#lua #运维

本文介绍了一个Lua模块,提供了API来控制NGINX下游SSL握手过程,支持动态设置证书和私钥,适用于不同域名请求。

翻译自: ngx.ssl - Lua API for controlling NGINX downstream SSL handshakes

1. 概要

# 注意:如果你使用的是 OpenResty 1.9.7.2+,则不需要该行
lua_package_path "/path/to/lua-resty-core/lib/?.lua;;";

server {
    listen 443 ssl;
    server_name test.com;
    
    # useless placeholders: just to shut up NGINX configuration
    # loder errors:
    ssl_certificate /path/to/fallback.crt;
    ssl_certificate_key /path/to/fallback.key;
    
    ssl_certificate_by_lua_block {
        local ssl = require "ngx.ssl"
        
        -- clear the fallback certificates and private keys
        -- set by the ssl_certificate and ssl_certificate_key
        -- directives above:
        local ok, err = ssl.clear_certs()
        if not ok then
            ngx.log(ngx.ERR, "failed to clear existing (fallback) certificates")
            return ngx.exit(ngx.ERROR)
        end
        
        -- assuming the user already the my_load_certificate_chain()
        -- herself.
        local pem_cert_chain = assert(my_load_certifiate_chain())
        
        local der_cert_chain, err = ssl.cert_pem_to_der(pem_cert_chain)
        if not der_cert_chain then
            ngx.log(ngx.ERR, "failed to convert certificate chain ",
                    "from PEM to DER: ", err)
            return ngx.exit(ngx.ERROR)
        end
        
        local ok, err = ssl.set_der_cert(der_cert_chain)
        if not ok then
            ngx.log(ngx.ERR, "failed to set DER cert: ", err)
            return ngx.exit(ngx.ERROR)
        end
        
        -- assuming the user already defined the my_load_private_key()
        -- function herself.
        local pem_pkey = assert(my_load_private_key())
        
        local der_pkey, err = ssl.priv_key_pem_to_der(pem_pkey)
        if not der_pkey then
            ngx.log(ngx.ERR, "failed to convert private key ",
                    "from PEM to DER: ", err)
            return ngx.exit(ngx.ERROR)
        end
        
        local ok, err = ssl.ser_der_priv_key(der_pkey)
        if not ok then
            ngx.log(ngx.ERR, "failed to set DER private key: ", err)
            return ngx.exit(ngx.ERROR)
        end
    }
    
    location / {
        root html;
    }
}

2. 描述

该 Lua 模块提供 API 函数来控制类似 ssl_certificate_by_lua*(ngx_lua 模块) 等上下文的 SSL 握手过程。

OpenSSL 允许我们动态地设置证书和私钥,因此期望可以在建立连接前才设置证书和私钥,这样,可以结合 SNI,针对不同的请求域名动态设置不同的证书和私钥,而无需事先把可能用到的证书和私钥都准备好。该 lua 模块提供的 API 以在 ssl_certificate_by_lua* 指令的上下文中支持此种情况。

在 Lua 中加载 ngx.ssl 模块,因如下:

local ssl = require "ngx.ssl"

3. 方法

3.1 clear_certs

语法:ok, err = ssl.clear_certs()
上下文:ssl_certificate_by_lua*
  • 清除在当前 SSL 连接中设置的任何已经存在的 SSL 证书和私钥。
  • 成功返回 true,失败返回一个 nil 值并且通过字符串描述错误。

3.2 cert_pem_to_der

语法:der_cert_chain, err = ssl.cert_pem_to_der(pem_cert_chain)
上下文:任意
  • 将 PEM 格式的 SSL 证书链数据转换为 DER 格式(转换后的 der 格式数据将用于 set_der_cert 函数)。
  • 失败,则返回 nil 值,并且通过字符串描述错误。
  • openssl 命令行工具可能无法正确将 SSL 证书链从 PEM 格式转换为 DER,因此总是使用该 Lua 函数进行转换。你可以总是使用类似 lua-resty-lrucache 或者 ngx_lua API(如 lua_shared_dict)等库来缓存 DER 格式的结果。
  • 该函数可以在任何上下文中使用。

3.3 set_der_cert

语法:ok, err = ssl.set_der_cert(der_cert_chain)
上下文:ssl_certificate_by_lua*
  • 为当前的 SSL 连接设置 DER 格式的 SSL 证书链数据。注意,该 DER 数据是直接保存在 Lua 字符串参数中的。不需要外部文件支持。
  • 若成功返回 true,否则返回 nil 并且通过字符串描述错误。
  • 注意,SSL 证书链通常以 PEM 格式编码,因此首先需要使用 cert_perm_to_der 函数进行转换。

3.4 priv_key_pem_to_der

语法:der_priv_key, err = ssl.priv_key_perm_to_der(perm_priv_key)
上下文:任意
  • 将 PEM 格式的 SSL 私钥数据转换为 DER 格式(用于 set_der_priv_key 函数)。
  • 失败,返回 nil 并通过字符串描述错误。
  • 可选地,你可以使用 openssl 命令行工具脱机下执行 PEM 转换为 DER,如下:
openssl rsa -in key.pem -outform DER -out key.der
  • 该函数可以在任意上下文中调用。

3.5 set_der_priv_key

语法:ok, err = ssl.set_der_priv_key(der_priv_key)
上下文:ssl_certificate_by_lua*
  • 为当前 SSL 连接设置 DER 格式的私钥。
  • 成功返回 true,失败返回 nil 并通过字符串描述错误。
  • 通常,私钥是以 PEM 格式编码的。可以使用 priv_key_perm_to_der 函数或者使用 openssl 命令行工具脱机将 PEM 转换为 DER,如下:
openssl rsa -in key.pem -outform DER -out key.der

3.6 server_name

语法:name, err = ssl.server_name()
上下文:任意
  • 返回由客户端设置的 TLS SNI(Server Name Indication) 名。若客户端没有设置则返回 nil。
  • 失败,返回 nil 并通过字符串描述错误。
  • 通常我们使用 SNI 名作为域名(如 www.openresty.org)来标识当前的 web 站点,同时为当该网站加载相应的 SSL 证书链和私钥。
  • 注意,并不是所有的 https 客户端都设置 SNI 名,因此当从客户端握手请求中缺失 SNI 名时,我们可以使用客户端访问的服务器 IP 地址来标识该网站。有关更多详细信息,参阅 raw_server_addr 方法。
  • 可以在下游 https 的任何上下文中调用该函数。

3.7 raw_server_addr

语法:addr_data, addr_type, err = ssl.raw_server_addr()
上下文:任意
  • 返回当前 SSL 连接中客户端实际访问的原始服务器地址。
  • 前两个返回值分别表示地址数据和地址类型的字符串,根据地址类型值对地址值进行不同的解释:
    • unix: 地址数据是 UNIX 域套接字的文件路径。
    • inet:地址数据是 4 字节长的二进制 IPv4 地址。
    • inet6:地址数据时 16 字节长的二进制 IPv6 地址。
  • 失败返回 nil,并通过字符串描述错误。
  • 以下代码显示如何将 UNIX 域套接字和 IPv4 地址打印为人类可读的字符串:
local ssl = require "ngx.ssl"
local byte = string.byte

local addr, addrtyp, err = ssl.raw_server_addr()
if not addr then
    ngx.log(ngx.ERR, "failed to fetch raw server addr: ", err)
    return
end

if addrtyp == "inet" then  -- IPv4
    ip = string.format("%d.%d.%d.%d", byte(addr, 1), byte(addr, 2),
                       byte(addr, 3), byte(addr, 4))
    print("Using IPv4 address: ", ip)

elseif addrtyp == "unix" then  -- UNIX
    print("Using unix socket file ", addr)

else  -- IPv6
    -- leave as an exercise for the readers
end
  • 可以在下游 https 的任何上下文中调用该函数。

3.8 raw_client_addr

语法:addr_data, addr_type, err = ssl.raw_client_addr()
上下文:任意

转载于:https://www.cnblogs.com/jimodetiantang/p/9260698.html

nginx配置动态ssl域名转发
yihaomoqu的专栏
12-13 2207
nginx配置动态ssl域名转发应用场景具体需求描述网关配置遇到的问题 应用场景 作为第三方站点服务供应商,我们需要每天对接大量的第三方域名及其ssl证书,如果我们为每个客户的域名配置一个server block的话,可能会造成大量的配置冗余,并面临批量更新的问题。实践中,最理想的对接方式是:客户只需要将他们的域名证书公私钥提供给第三方供应商,并将改域名解析到第三方站点服务供应商的网关外网ip即可...
openresty ngx.ctx请求上下文
weixin_43931625的博客
07-20 1548
openresty ngx.ctx请求上下文
nginx支持ssl简介
最爱小扇扑流萤
08-04 687
nginx-1.2.0编译时默认是不支持ssl协议的,需要通过编译指令来开启对其支持: ./configure --with-http_ssl_module 在nginx源码中,ssl相关代码用宏定义变量NGX_HTTP_SSL来控制是否开启。这给我们查找和阅读ssl相关代码带来了方便,如下: ssl协议工作在tcp协议与http协议之间。nginx在支持ssl协议时,需要注意三点,
OpenResty 编译安装nginx的ssl模块】
最新发布
weixin_43946446的博客
06-16 461
OpenResty 1.25.3.2编译安装nginx的ssl模块
[emerg] the “ssl“ parameter requires ngx_http_ssl_module in /usr/local/nginx/conf/nginx.conf:35
qq_27164017的博客
01-17 8249
这个错误提示表明在Nginx配置文件(通常是nginx.conf)中使用了SSL(Secure Sockets Layer)相关的配置,但是Nginx没有加载相应的SSL模块。2.确保在配置文件中的server块中有正确的SSL配置,如listen 443 ssl;和证书路径等,这个在证书配置的官网有具体的所需配置。/usr/local/nginx/sbin/nginx:安装nginx的绝对路径。/XXX/openssl-1.1.1l:openssl安装位置。如果没有语法错误,启动Nginx。
nginx 学习笔记(四)nginx + lua 使用 ssl 验证 浏览器证书
u011196623的专栏
08-29 3427
开发十年,就只剩下这套Java开发体系了 >>>    ...
【基础篇】Nginx安装 SSL模块、配置 HTTPS详细步骤
热门推荐
打怪升级
08-25 1万+
nginx
openresty源码(openresty-1.19.9.1.tar.gz)
03-31
而模块(如`src/http/modules/`目录下的文件)则是Nginx处理请求的核心组件,包括HTTP、SSL、rewrite等基础模块,以及OpenResty特有的lua模块,如`ngx_lua`,它实现了在Nginx内部运行Lua脚本的能力。 LuaJIT是...
openresty ngx_lua正则表达式
weixin_43931625的博客
07-05 1388
openresty ngx_lua正则表达式
openresty ngx_lua常用指令
weixin_43931625的博客
07-11 1705
openresty ngx_lua常用指令
Centos下openresty-1.19.9-1环境搭建
qq_42339927的博客
11-21 6957
文章目录Centos下openresty-1.19.9-1环境搭建一、背景二、openresty安装配置2.1 编译安装2.2 配置环境变量2.3 添加lua的http模块2.4 添加到service服务 Centos下openresty-1.19.9-1环境搭建 一、背景 查看了不少的openrest安装帖子,发现不少帖子都因为版本比较旧,和新版本差异较大,因此安装过程中遇到一些坑,把自己的安装过程mark下以供参考。 搭建线上测试源站,支持下列功能: 支持自定义头部添加 支持POST并且保存文件 支持s
Nginx 面试分享(十四):Nginx Lua扩展模块
之乎者也·的博客
12-07 2905
前面我们提到过,OpenResty 是由淘宝工程师开发的,所以其官方网站()我们读起来是非常的方便。OpenResty 是一个基于 Nginx 与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关。所以本身 OpenResty 内部就已经集成了 Nginx 和 Lua,所以我们使用起来会更加方便。
ngx_lua
sep_twenty的博客
12-29 462
不同阶段执行lua脚本的指令
Nginx 配置 SSL(HTTPS)详解
m0_74823561的博客
12-30 1667
Nginx作为一款高性能的HTTP和反向代理,自然支持SSL/TLS加密通信。本文将详细介绍如何在Nginx中配置SSL,实现HTTPS的访问。随着互联网安全性的日益重要,HTTPS协议逐渐成为网站加密通信的标配。Nginx作为一款高性能的HTTP和反向代理服务器,自然支持SSL/TLS加密通信。本文将详细介绍如何在Nginx中配置SSL,实现HTTPS的访问。使用Nginx进行反向代理的时候,对于正常的http;流量使用location块并且配置proxy_pass。
基于lis3dh的简易倾角仪c源码_开源网关apisix源码阅读和最佳实践
weixin_40004057的博客
11-30 675
大家应该都接手过这种项目,前人找一个开源软件改一改,发上线。我这里便曾经遇到过类似的问题。随着需求的增加,各种维护人员东改改西改改,原来的开源项目被改的面目全非,再也无法和上游合并。甚至TLS协议栈被改掉,不再兼容HTTPS协议。然后有些人基于这个代码又拖出来一份新代码,实现自己的功能。核心代码被魔改,各种变量删的删,想法是好的,“方便维护”,“方便开源”,“方便KPI”,结果是睿智的...
Openresty资料之运行机制
宅羽的博客
05-28 2454
OpenResty基于Nginx,把Web服务的整个生命周期和请求处理流程清晰地划分出了若干个阶段(Phase) ◆ 处理阶段: 一个Web 服务的生命周期可以分成三个阶段 initing:服务启动,该阶段通常是读取配置文件,初始化内部数据结构 running:服务运行,接受客户端的请求,返回响应结果 exiting:服务停止,做一些必要的清理工作,如关闭监听端口 OpenResty 目前关注的...
电商网站HTTPS实践之路(三)——性能优化篇
皖南笑笑生的博客
05-17 7875
通过分析TLS握手过程的细节我们会发现HTTPS比HTTP会增加多个RTT网络传输时间,既增加了服务端开销,又拖慢了客户端响应时间。因此,性能优化是必不可少的工作。很多文章都集中在服务端的性能优化上,但对于电商行业而言,大部分的用户流量源于App,因此客户端的性能优化配合服务端才能使收益最大化。 1. HTTPS带来的负担 1.1 增加的传输延时 1.2 服务端额外开销 2. 服务端性能...
openresty配置ssl证书
TechTrek
05-22 5445
1.安装openresty与openssl安装参考 2.证书生成 创建服务器私钥,命令会让你输入一个口令: openssl genrsa -des3 -out ca.key 1024 创建签名请求的证书(CSR): openssl req -new -key ca.key -out ca.csr 在加载SSL支持的Nginx并使用上述私钥时除去必须的口令: cp ca.key ca.k
-L/mnt/openresty-1.27.1.1/build/luajit-root/data/apps/or/luajit/lib -L/mnt/openresty-1.27.1.1/build/luajit-root/data/apps/or/luajit/lib -Wl,-rpath,/data/apps/or/luajit/lib -Wl,-E -Wl,-E -ldl -lpthread -lcrypt -L/mnt/openresty-1.27.1.1/build/luajit-root/data/apps/or/luajit/lib -lluajit-5.1 -lm -ldl -L/mnt/openresty-1.27.1.1/build/luajit-root/data/apps/or/luajit/lib -lluajit-5.1 -lm -ldl -lpcre -lssl -lcrypto -ldl -lpthread -lz \ -Wl,-E objs/addon/src/ngx_http_lua_ssl_certby.o:在函数‘ngx_http_lua_ffi_ssl_client_random’中: /mnt/openresty-1.27.1.1/build/nginx-1.27.1/../ngx_lua-0.10.27/src/ngx_http_lua_ssl_certby.c:1651:对‘SSL_get_client_random’未定义的引用 objs/addon/src/ngx_stream_lua_ssl_certby.o:在函数‘ngx_stream_lua_ffi_ssl_client_random’中: /mnt/openresty-1.27.1.1/build/nginx-1.27.1/../ngx_stream_lua-0.0.15/src/ngx_stream_lua_ssl_certby.c:1649:对‘SSL_get_client_random’未定义的引用 collect2: 错误:ld 返回 1 make[2]: *** [objs/nginx] 错误 1 make[2]: 离开目录“/mnt/openresty-1.27.1.1/build/nginx-1.27.1” make[1]: *** [build] 错误 2 make[1]: 离开目录“/mnt/openresty-1.27.1.1/build/nginx-1.27.1” make: *** [all] 错误 2
04-09
<think>嗯,用户遇到了编译OpenResty时出现的链接错误,具体是未定义的引用`SSL_get_client_random`。首先,我需要理解这个错误的原因。 看起来问题出在链接阶段,编译器找不到`SSL_get_client_random`函数的实现。这个函数应该是OpenSSL库的一部分。可能的情况是使用的OpenSSL版本不兼容或者编译时链接的库路径不正确。 用户提供的编译命令中有多个`-L`选项指向luajit的库路径,但可能缺少OpenSSL的库路径。另外,检查是否链接了正确的OpenSSL库文件(比如`-lssl -lcrypto`),这些是否指向了正确版本的OpenSSL。例如,如果系统安装了多个OpenSSL版本,可能需要指定具体路径。 另外,`SSL_get_client_random`函数是在哪个版本的OpenSSL中引入的?查阅资料发现,这个函数在OpenSSL 1.1.1及以上版本中存在。如果用户使用的OpenSSL版本过旧,可能没有这个函数,导致链接错误。因此,需要确认系统中安装的OpenSSL版本是否符合要求。 还有,用户是否在编译时正确配置了OpenSSL的路径?比如在OpenResty的configure步骤中,是否通过`--with-openssl`指定了正确的源码目录或安装路径。如果OpenSSL安装在非标准位置,可能需要添加相应的`-I`和`-L`选项。 此外,检查编译命令中的链接顺序是否正确。有时候库的顺序会影响解析符号的过程,可能需要将`-lssl`和`-lcrypto`放在依赖它们的对象文件之后。但用户的命令中已经包含了这些选项,可能需要确认顺序是否正确。 可能的解决方案包括:1. 确保安装了正确版本的OpenSSL(1.1.1或更新);2. 在编译时通过`-L`指定OpenSSL库的正确路径;3. 检查configure参数是否正确;4. 确认没有库路径或版本冲突。 另外,用户可能在自定义构建时没有正确指向OpenSSL的位置,或者构建环境变量如`LD_LIBRARY_PATH`没有设置正确。或者,在编译OpenResty时,需要指定OpenSSL的静态库而非动态库,反之亦然。 总结下来,用户需要检查OpenSSL的版本和安装路径,确保编译时正确链接,并调整configure参数以包含必要的库路径和版本。</think>在编译OpenResty时出现的链接错误是由于缺少OpenSSL相关符号`SSL_get_client_random`导致的。以下分步骤分析和解决该问题: --- ### **1. 错误原因分析** 错误信息表明: ```bash 对‘SSL_get_client_random’未定义的引用 ``` 该函数属于OpenSSL库,且首次出现在 **OpenSSL 1.1.1** 及以上版本。可能原因: - 系统安装的OpenSSL版本过低(<1.1.1) - 编译时未正确链接OpenSSL库路径 - OpenResty配置未指向正确的OpenSSL版本 --- ### **2. 验证OpenSSL版本** 执行以下命令检查OpenSSL版本: ```bash openssl version ``` 若输出为`OpenSSL 1.1.1`或更高版本,则版本符合要求。否则需升级OpenSSL。 --- ### **3. 解决方案** #### **情况1:系统OpenSSL版本过低** 需手动安装OpenSSL 1.1.1+,例如: ```bash # 下载源码 wget https://www.openssl.org/source/openssl-1.1.1w.tar.gz tar -xzf openssl-1.1.1w.tar.gz cd openssl-1.1.1w # 编译安装到自定义目录(如/opt/openssl-1.1.1w) ./config --prefix=/opt/openssl-1.1.1w --openssldir=/opt/openssl-1.1.1w make && make install ``` --- #### **情况2:配置OpenResty时未正确指定OpenSSL路径** 在编译OpenResty时,需通过`--with-openssl`参数指定OpenSSL源码路径: ```bash ./configure \ --prefix=/usr/local/openresty \ --with-openssl=/path/to/openssl-1.1.1w \ --with-pcre \ --with-pcre-jit \ # 其他参数... ``` --- #### **情况3:修复链接器路径** 在您的原始编译命令中,缺少OpenSSL库路径。需添加: ```bash -L/path/to/openssl/lib -I/path/to/openssl/include ``` 例如: ```bash gcc ... \ -L/opt/openssl-1.1.1w/lib \ -I/opt/openssl-1.1.1w/include \ -lssl -lcrypto \ ... ``` --- ### **4. 完整修复流程** 1. **安装OpenSSL 1.1.1+**(参考步骤3) 2. **重新配置OpenResty**: ```bash ./configure \ --prefix=/usr/local/openresty \ --with-openssl=/path/to/openssl-1.1.1w \ --with-pcre \ --with-pcre-jit \ # 其他必要参数 ``` 3. **重新编译**: ```bash make clean && make -j$(nproc) && make install ``` --- ### **5. 补充说明** - 如果使用动态库,确保运行时链接路径正确(通过`LD_LIBRARY_PATH`或`ldconfig`) - 检查是否有多版本OpenSSL冲突(使用`ldd /path/to/nginx`验证链接的库) 通过上述步骤应能解决`SSL_get_client_random`未定义引用的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值