OpenResty之ngx.ssl

Posted jimodetiantang

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了OpenResty之ngx.ssl相关的知识,希望对你有一定的参考价值。

翻译自: ngx.ssl - Lua API for controlling NGINX downstream SSL handshakes

1. 概要

# 注意:如果你使用的是 OpenResty 1.9.7.2+,则不需要该行
lua_package_path "/path/to/lua-resty-core/lib/?.lua;;";

server {
    listen 443 ssl;
    server_name test.com;
    
    # useless placeholders: just to shut up nginx configuration
    # loder errors:
    ssl_certificate /path/to/fallback.crt;
    ssl_certificate_key /path/to/fallback.key;
    
    ssl_certificate_by_lua_block {
        local ssl = require "ngx.ssl"
        
        -- clear the fallback certificates and private keys
        -- set by the ssl_certificate and ssl_certificate_key
        -- directives above:
        local ok, err = ssl.clear_certs()
        if not ok then
            ngx.log(ngx.ERR, "failed to clear existing (fallback) certificates")
            return ngx.exit(ngx.ERROR)
        end
        
        -- assuming the user already the my_load_certificate_chain()
        -- herself.
        local pem_cert_chain = assert(my_load_certifiate_chain())
        
        local der_cert_chain, err = ssl.cert_pem_to_der(pem_cert_chain)
        if not der_cert_chain then
            ngx.log(ngx.ERR, "failed to convert certificate chain ",
                    "from PEM to DER: ", err)
            return ngx.exit(ngx.ERROR)
        end
        
        local ok, err = ssl.set_der_cert(der_cert_chain)
        if not ok then
            ngx.log(ngx.ERR, "failed to set DER cert: ", err)
            return ngx.exit(ngx.ERROR)
        end
        
        -- assuming the user already defined the my_load_private_key()
        -- function herself.
        local pem_pkey = assert(my_load_private_key())
        
        local der_pkey, err = ssl.priv_key_pem_to_der(pem_pkey)
        if not der_pkey then
            ngx.log(ngx.ERR, "failed to convert private key ",
                    "from PEM to DER: ", err)
            return ngx.exit(ngx.ERROR)
        end
        
        local ok, err = ssl.ser_der_priv_key(der_pkey)
        if not ok then
            ngx.log(ngx.ERR, "failed to set DER private key: ", err)
            return ngx.exit(ngx.ERROR)
        end
    }
    
    location / {
        root html;
    }
}

2. 描述

该 Lua 模块提供 API 函数来控制类似 ssl_certificate_by_lua*(ngx_lua 模块) 等上下文的 SSL 握手过程。

OpenSSL 允许我们动态地设置证书和私钥,因此期望可以在建立连接前才设置证书和私钥,这样,可以结合 SNI,针对不同的请求域名动态设置不同的证书和私钥,而无需事先把可能用到的证书和私钥都准备好。该 lua 模块提供的 API 以在 ssl_certificate_by_lua* 指令的上下文中支持此种情况。

在 Lua 中加载 ngx.ssl 模块,因如下:

local ssl = require "ngx.ssl"

3. 方法

3.1 clear_certs

语法:ok, err = ssl.clear_certs()
上下文:ssl_certificate_by_lua*
  • 清除在当前 SSL 连接中设置的任何已经存在的 SSL 证书和私钥。
  • 成功返回 true,失败返回一个 nil 值并且通过字符串描述错误。

3.2 cert_pem_to_der

语法:der_cert_chain, err = ssl.cert_pem_to_der(pem_cert_chain)
上下文:任意
  • 将 PEM 格式的 SSL 证书链数据转换为 DER 格式(转换后的 der 格式数据将用于 set_der_cert 函数)。
  • 失败,则返回 nil 值,并且通过字符串描述错误。
  • openssl 命令行工具可能无法正确将 SSL 证书链从 PEM 格式转换为 DER,因此总是使用该 Lua 函数进行转换。你可以总是使用类似 lua-resty-lrucache 或者 ngx_lua API(如 lua_shared_dict)等库来缓存 DER 格式的结果。
  • 该函数可以在任何上下文中使用。

3.3 set_der_cert

语法:ok, err = ssl.set_der_cert(der_cert_chain)
上下文:ssl_certificate_by_lua*
  • 为当前的 SSL 连接设置 DER 格式的 SSL 证书链数据。注意,该 DER 数据是直接保存在 Lua 字符串参数中的。不需要外部文件支持。
  • 若成功返回 true,否则返回 nil 并且通过字符串描述错误。
  • 注意,SSL 证书链通常以 PEM 格式编码,因此首先需要使用 cert_perm_to_der 函数进行转换。

3.4 priv_key_pem_to_der

语法:der_priv_key, err = ssl.priv_key_perm_to_der(perm_priv_key)
上下文:任意
  • 将 PEM 格式的 SSL 私钥数据转换为 DER 格式(用于 set_der_priv_key 函数)。
  • 失败,返回 nil 并通过字符串描述错误。
  • 可选地,你可以使用 openssl 命令行工具脱机下执行 PEM 转换为 DER,如下:
openssl rsa -in key.pem -outform DER -out key.der
  • 该函数可以在任意上下文中调用。

3.5 set_der_priv_key

语法:ok, err = ssl.set_der_priv_key(der_priv_key)
上下文:ssl_certificate_by_lua*
  • 为当前 SSL 连接设置 DER 格式的私钥。
  • 成功返回 true,失败返回 nil 并通过字符串描述错误。
  • 通常,私钥是以 PEM 格式编码的。可以使用 priv_key_perm_to_der 函数或者使用 openssl 命令行工具脱机将 PEM 转换为 DER,如下:
openssl rsa -in key.pem -outform DER -out key.der

3.6 server_name

语法:name, err = ssl.server_name()
上下文:任意
  • 返回由客户端设置的 TLS SNI(Server Name Indication) 名。若客户端没有设置则返回 nil。
  • 失败,返回 nil 并通过字符串描述错误。
  • 通常我们使用 SNI 名作为域名(如 www.openresty.org)来标识当前的 web 站点,同时为当该网站加载相应的 SSL 证书链和私钥。
  • 注意,并不是所有的 https 客户端都设置 SNI 名,因此当从客户端握手请求中缺失 SNI 名时,我们可以使用客户端访问的服务器 IP 地址来标识该网站。有关更多详细信息,参阅 raw_server_addr 方法。
  • 可以在下游 https 的任何上下文中调用该函数。

3.7 raw_server_addr

语法:addr_data, addr_type, err = ssl.raw_server_addr()
上下文:任意
  • 返回当前 SSL 连接中客户端实际访问的原始服务器地址。
  • 前两个返回值分别表示地址数据和地址类型的字符串,根据地址类型值对地址值进行不同的解释:
    • unix: 地址数据是 UNIX 域套接字的文件路径。
    • inet:地址数据是 4 字节长的二进制 IPv4 地址。
    • inet6:地址数据时 16 字节长的二进制 IPv6 地址。
  • 失败返回 nil,并通过字符串描述错误。
  • 以下代码显示如何将 UNIX 域套接字和 IPv4 地址打印为人类可读的字符串:
local ssl = require "ngx.ssl"
local byte = string.byte

local addr, addrtyp, err = ssl.raw_server_addr()
if not addr then
    ngx.log(ngx.ERR, "failed to fetch raw server addr: ", err)
    return
end

if addrtyp == "inet" then  -- IPv4
    ip = string.format("%d.%d.%d.%d", byte(addr, 1), byte(addr, 2),
                       byte(addr, 3), byte(addr, 4))
    print("Using IPv4 address: ", ip)

elseif addrtyp == "unix" then  -- UNIX
    print("Using unix socket file ", addr)

else  -- IPv6
    -- leave as an exercise for the readers
end
  • 可以在下游 https 的任何上下文中调用该函数。

3.8 raw_client_addr

语法:addr_data, addr_type, err = ssl.raw_client_addr()
上下文:任意

以上是关于OpenResty之ngx.ssl的主要内容,如果未能解决你的问题,请参考以下文章

Nginx扩展之Openresty

分布式实战:Nginx缓存之OpenResty部署

原创运维基础之OpenResty

Docker下的OpenResty三部曲之终篇:OpenResty加Tomcat的服务

并发编程之缓存:OpenResty+lua实现一级缓存

OpenResty之resty.limit.count 模块介绍