首页
文章
问答
文档
软件下载
发现更多
点赞
评论
收藏
分享
举报
nginx ssl模块使用详解
发表于2020-09-10 09:33

浏览 3.8k

文章标签

NGINX
SSL

    nginx 针对https提供ssl/tls配置功能的支持,这些功能由openssl库提供,除了原生的nginx模块能对https提供支持之外,openresty也同样在nginx原生的基础上 提供了lua脚本层面对https进行配置与处理的功能。

        nginx openssl模块在ngx_http_ssl_module实现,实际与openssl进行交互的模块还是在ngx_event_openssl以及ngx_event_openssl_stapling模块中。目前nginx可支持的ssl/tls版本如下: SSLv2  SSLv3 TLSv1 TLSv1.1 TLSv1.2 TLSv1.3,具体配置可支持的版本可以自由进行设置。openssl模块配以配置openssl的开启以及关闭,通常https配置的端口一般是443。

        目前的ssl模块支持配置多个ssl证书及整数的秘钥。通过ssl_certificate配置ssl证书,通过ssl_certificate_key配置ssl秘钥。当然也支持直接将密码信息存放在文件中,通过nginx配置实现密码信息的读取及设置,这个功能由ssl_password_file配置指令实现。

        pem证书信息设置可以使用ssl_dhparam配置PEM证书信息;同样,ssl加密所用的椭圆曲线的参数信息可以通过ssl_ecdh_curve指令进行配置,这里可以简单地介绍ssl加密算法为什么名为ecdh,ecdh是Elliptic-Curve和Diffie-Hellman的缩写,openssl只支持有名称的椭圆曲线(named curves),在nginx模块中默认配置的曲线是prime256v1的曲线算法。

        nginx提供对ssl支持版本的设置,可选择的范围是SSLv2、SSLv3、TLSv1、TLSv1.2、TLSv1.3,如果不设置支持的协议版本,默认使用的范围是TLSv1、TLSv1.1、TLSv1.2。ssl_ciphers可以设置openssl所使用的加密算法套件。而ssl部分使用的缓冲buffer大小也可以通过配置设置,默认的大小为16k。

        同样,nginx ssl模块提供了双向的安全验证功能,可以配置来验证客户端,开启及关闭双向验证功能的指令是ssl_verify_client;而双向验证的级别同样也能进行设置,ssl_verify_depth可以满足。对于客户端的证书,在nginx ssl模块中可以通过ssl_client_certificate设置。而受信任的CA证书通过ssl_trusted_certificate进行设置。ssl_prefer_server_ciphers的开关可以使用server服务器的偏好来使用openssl的加密算法套件,openssl提供了算法套件的偏好的配置功能。

        nginx提供了对ssl session的缓存配置设置,配置ssl_session_cache为off或者none 这两种情况下 是不会启用ssl的session缓存功能的;而built_in配置ssl_session缓存,则会使用openssl内部的session cache机制;shared方式使用的ssl session cache使用的是nginx ssl模块提供的共享内存形式的缓存,这种session缓存能够被nginx所有的worker进程进行共享访问,shared模式下可提供session cache大小的阈值设置,cache淘汰过期的方式为简单的LRU方式进行淘汰。openssl提供了对session的超时时间的设置,指令是ssl_session_timeout。

        此外,nginx也提供了openssl中对ssl的session ticket控制的功能,以及session ticket key(当然可以配置多个)配合openssl的session ticket的功能进行使用。

        ssl_crl提供对PEM证书进行检查的功能,主要是对于客户端的证书进行检查(对吊销的证书进行检查);nginx同样提供了OCSP stapling的功能,stapling缓存访问得到的证书信息,减少OCSP的验证,提高SSL处理的效率,开启nginx stapling功能之后,与之配合的指令有ssl_stapling_file,里面保存了证书的信息;ssl_stapling_responder保存了响应的url信息,另外还可以使用ssl_stapling_verify,ssl_stapling_verify可以对stapling缓存的证书信息进行验证,ssl_stapling_verify的功能默认是不会开启的。

       结尾处,贴一张线上的nginx ssl部分的配置,下一篇会着重与openssl具体的处理及实现机制

已修改于2023-03-09 02:04
创作不易,留下一份鼓励
守望

暂无个人介绍

关注



写下您的评论
发表评论
全部评论(0)

按点赞数排序

按时间排序

关于作者
守望
这家伙很懒还未留下介绍~
89
文章
0
问答
17
粉丝
Ta 的主页
相关文章
如何使用nginxWebUI图形化gui界面管理nginx
介绍nginx网页配置工具QQ技术交流群1:1106758598QQ技术交流群2:560797506邮箱: cym1102@qq.com官网地址: http://www.nginxwebui.cn码云: https://gitee.com/cym1102/nginxWebUIgithub: https://github.com/cym1102/nginxWebUI功能特点nginxWebUI也可管理多个nginx服务器集群,随时一键切换到对应服务器上进行nginx配置,也可以一键将某台服务器配置同步到其他服务器,方便集群管理.部署此项目后,配置nginx再也不用上网各种搜索配置代码,再也不用手动申请和配置ssl证书,只需要在本项目中进行增删改查就可方便的配置和启动nginx。技术说明本项目是基于springBoot的web系统,数据库使用sqlite,因此服务器上不需要安装任何数据库项目启动时会释放一个.sqlite.db到系统用户文件夹中,注意进行备份本系统通过Let'sencrypt申请证书,使用acme.sh脚本
点赞 6
浏览 6.4k
Nginx学习笔记(版本选择和介绍)
  前三周学习了陶辉老师的“NGINX基础培训系列课程”,感觉受益良多,在这里想把一些知识点记录一下,和大家分享一下知识点,也方便日后的随手查看,温故知新。  首先,我们了解到了Nginx的版本,Nginx发布版本分为主线版本和稳定版本,区分两个版本也非常简单,主线版本版本号为单数,比如1.19,稳定版本为双数,比如1.18,今天我要说的是稳定版本,这个版本会尽量少的减少Nginx的bug问题,适用于生产环境,这里我不建议使用Nginx和其他软件一样在生产环境中落后一个或多个大版本使用,之前生产环境做过漏扫,发现我们编译自带的Nginx版本为:nginx/1.13.3(查询命令为nginx-V),结果出现了多个漏洞,四个高危和一个中危漏洞:        通过升级Nginx到稳定版最新版本后修复!  其次,是Nginx发行版本的选择,目前比较流行的有:nginx、nginxplus、Tengine、openresty、ope
点赞 1
浏览 3.5k
NGINX从入门到精通进阶系列培训
感谢您参加“NGINX从入门到精通进阶系列培训”!以下为培训的问答、课件和录像,希望您能通过此培训学有所得,祝学习进步!>问与答:- 基础篇+高级篇 - 应用篇+实战篇(New)>课件(PPT):基础篇:-NGINX概要、安装、配置:https://interact.f5.com/rs/653-SMC-783/images/CNFEB22-NginxCoreCourse-Setup.pdf-NGINX日志、运维:https://interact.f5.com/rs/653-SMC-783/images/cnfeb22-nginxcorecourse-maintenance.pdf高级篇:-NGINX变量、API:https://interact.f5.com/rs/653-SMC-783/images/CNFEB22-NginxCoreCourse-API.pdf-NGINXSSL、NJS:https://interact.f5.com/rs/653-SMC-783/images/CNFEB22-NginxCoreCourse-SSL.pdf
点赞 10
浏览 5k
    保持联系
    微信公众号
    加入微信群
    开放 · 包容 · 沟通 · 贡献
    NGINX开源社区
    官方站点
    NGINX 的 GitHub 仓库
    参与贡献
    更多资源
    社交媒体
    微信公众号
    Copyright © F5, Inc. All Rights Reserved. F5 版权所有
    京公网安备 11010502047880号   京ICP备16013763号-5