深入理解nginx的https alpn机制

置顶 已于 2024-02-29 18:00:00 修改
阅读量1k 收藏 26
点赞数 28
分类专栏: nginx学习 c++开发 LINUX 文章标签: nginx https 运维 alpn 源码分析
于 2024-02-29 11:23:31 首次发布
原创作品 版权所有 不得转载
本文链接:https://blog.csdn.net/bluestn/article/details/136366225
版权

目录

阅读姊妹篇:深入理解nginx的https alpn机制

1. 概述

  应用层协议协商Application-Layer Protocol Negotiation,简称ALPN)是一个传输层安全协议(TLS) 的扩展, ALPN 使得应用层可以协商在安全连接层之上使用什么协议, 避免了额外的往返通讯, 并且独立于应用层协议。 ALPN 用于 HTTP/2 连接, 和HTTP/1.x 相比, HTTP 2的使用增强了网页的压缩率减少了网络延时。 ALPN 和 HTTP/2 协议是伴随着 Google 开发 SPDY 协议出现的。

  nginx能够在一个ssl监听端口上同时提供http/1.1和http/2的服务,而http/2协议规定是必须基于tls安全通信协议的,因此,nginx在ssl握手过程中实现了ALPN的协议协商功能,能够自动完成和客户端的协议协商,从而根据客户端的协议支持能力提供http/1.1或者http/2的服务。

  本文基于nginx,对alpn的实现原理进行深入的分析。

2. alpn协议的简要理解

2.1 ssl的握手过程

在这里插入图片描述

  由上图可以看到,alpn的协商过程是在ssl握手的最早的两个阶段,即ClientHello和ServerHello中完成的,通过将应用层协议协商信息附加到ClientHello和ServerHello报文中完成的交互。

2.2 通过抓包看一下alpn的细节

  下面通过TLS v1.2握手协议来查看alpn的细节,对于TLS v1.3协议,在ServerHello响应的时候由于alpn部分的信息被加密,所以查看起来比较会麻烦。抓包通过wireshark来实现,通过以下命令来模拟http2的请求:

curl --http2 "https://www.test.com" -kv

  下到的报文如下:

  ClientHello报文:
在这里插入图片描述

  ServerHello报文:
在这里插入图片描述

  在ClientHello报文中可以看到application_layer_protocol_negotiation的信息,表明了客户端可以同时支持h2和http/1.1,而在ServerHello报文中也可以看到application_layer_protocol_negotiation的信息,表明服务器选择了h2协议作为应用层协议。

3. nginx源码分析

3.1 给ssl上下文设置alpn回调

   nginx在启动的时候,ngx_http_ssl_module模块在ngx_http_ssl_merge_srv_conf的时候,有以下这段代码对ssl的上下文进行初始化:

	/* 创建ssl上下文 */
	if (ngx_ssl_create(&conf->ssl, conf->protocols, conf) != NGX_OK) {
   
        return NGX_CONF_ERROR;
    }

	/* 注册用于ssl上下文资源回收的回调函数
    cln = ngx_pool_cleanup_add(cf->pool, 0);
    if (cln == NULL) {
        ngx_ssl_cleanup_ctx(&conf->ssl);
        return NGX_CONF_ERROR;
    }

    cln->handler = ngx_ssl_cleanup_ctx;
    cln->data = &conf->ssl;

	/* 设置ClientHello消息回调 */
#if defined(T_INGRESS_SHARED_MEMORY_PB) && OPENSSL_VERSION_NUMBER >= 0x10101000L
    SSL_CTX_set_client_hello_cb(conf->ssl.ctx,
                                ngx_http_ssl_client_hello_callback, NULL);
#endif

	/* 设置SNI消息回调 */
#ifdef SSL_CTRL_SET_TLSEXT_HOSTNAME

    if (SSL_CTX_set_tlsext_servername_callback(conf->ssl.ctx,
                                               ngx_http_ssl_servername)
        == 0)
    {
   
        ngx_log_error(NGX_LOG_WARN, cf->log, 0,
            "nginx was built with SNI support, however, now it is linked "
            "dynamically to an OpenSSL library which has no tlsext support, "
            "therefore SNI is not available");
    }

#endif

	/* 设置ALPN消息回调  */
#ifdef TLSEXT_TYPE_application_layer_protocol_negotiation
    SSL_CTX_set_alpn_select_cb(conf->ssl.ctx, ngx_http_ssl_alpn_select, NULL);
#endif

   没错,最以上源码的最后部分,nginx向openssl底层库设置了alpn的回调函数ngx_http_ssl_alpn_select,以期待接收到从客户端发过来的ClientHello中分析出有alpn扩展信息的时候回调这个函数。

3.2 连接初始化

  在3.1节中所述的ssl上下文准备好以后,ssl连接当然是还没有建立的,只能说仍然只是停留在配置阶段,那么接下去可以想到客户端发起了tcp连接,nginx接受了这个连接,就需要开始对这个连接进行初始化,连接的初始化过程是由ngx_http_init_connection函数来完成的。那么如果开启了https,就会执行如下代码:

#if (NGX_HTTP_SSL)
    {
   
    ngx_http_ssl_srv_conf_t  *sscf;

    sscf = ngx_http_get_module_srv_conf(hc->conf_ctx, ngx_http_ssl_module
最低0.47元/天 解锁文章
码农心语
关注
  • 28
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
深入理解nginxhttps sni机制
一个致力于开源代码学习、分析和交流的博客
02-29 1481
本文从ssl上下文的初始化、ssl连接的初始化、sni回调处理,到最后动态证书加载的整个流程说明了nginx sni的实现过程
支持http2.0的服务器,【nginx系列】nginx升级到支持HTTP2.0
weixin_42301080的博客
07-30 328
一、前言最近想折腾一下服务器,升级到http2.0。然后nginx照着官网配置了一下# ssl写在443端口后面。这样http和https的链接都可以用listen 443 ssl http2 default_server;server_name chat.chengxinsong.cn;# HSTS的合理使用,max-age表明HSTS在浏览器中的缓存时间,includeSubdomainsca...
ALPN协议
04stone37
06-06 8961
协议介绍   ALPN (Application Layer Protocol Negotiation)是TLS的扩展,允许在安全连接的基础上进行应用层协议的协商。ALPN支持任意应用层协议的协商,目前应用最多是HTTP2的协商。在2016年,ALPN已经完全替代NPN了。   ALPN allows the application layer to negotiate which pr...
nginx配置http2无效不起作用
php小松
03-17 9360
最近博客打算做https顺便把http2也做上去,但是测试的时候发现还是http/1.1,问题出来哪里? nginx -V 查看编译参数也带有 –with-http_v2_module 默认情况下http_v2_module是自动带着的Google 了一下发现是 OpenSSL 版本的问题OpenSSL 1.0.1e的版本不支持ALPN,所以无法开启 HTTP2 问题已经找到开始怎么解决问题 更新
深入学习Nginx:从入门到实践
最新发布
聚焦于深度解析最新的编程语言特性、框架升级、架构设计、开发工具和最佳实践,涵盖Web前端(如Vue3, React, Angular等)、后端开发(如Node.js, Java, Python等)、移动端开发(iOS, Android原生及跨平台开发)
03-17 1万+
Nginx的功能远不止于此,还包括SSL/TLS加密传输、限速控制、重写规则、防盗链设置等诸多高级特性。理解并熟练运用Nginx的各项配置和技术,将极大提升您的Web服务架构水平。不断实践与探索,结合业务需求灵活调整Nginx配置,才是持续优化服务性能的关键所在。
深入浅出 gRPC 02:gRPC 客户端创建和调用原理
琦彦
02-03 3889
目录 1. gRPC 客户端创建流程 1.1 背景 1.2 业务代码示例 1.3 RPC 调用流程 1.3.1 客户端调用总体流程 1.3.2 ManagedChannel 创建流程 1.3.3 ClientCall 创建流程 1.3.4 基于 Netty 的 HTTP/2 Client 创建流程 1.3.5 HTTP/2 连接创建流程 1.3.6 负载均衡策略 1.3.7 ...
动态网页/phmFastCGI协议/HTTP/HTTP-2 协议草稿
fdsafwagdagadg6576的专栏
11-05 304
原文地址:HTTP/2 协议 - 如果的事 - 博客园 这篇blog已经对http1和http2 介绍的很全面,清晰了。 https://segmentfault.com/a/1190000019142090https://segmentfault.com/a/1190000017342023 这两篇blog怎么了一些wireshark,介绍的内容没有最上面的blog讲的清晰 正文 HTTP/2是由google的SPDY协议衍生而来的。HTTP/2 没有改动 HTTP 的应用语义。 HTTP 方法
SPDY、HTTP/2、QUIC协议
热门推荐
hursing的博客
04-02 7万+
1 SPDY协议 1.1 概述 SPDY为speedy(单词原意:快速的)的缩写,读音也就是speedy。 SPDY协议已发布过4个草案,分别为版本1、2、3、3.1。目前版本4已在试验阶段,但未发布,Chromium里已有一些针对版本4的代码。 SPDY对比HTTP的优势: 复用连接,可在一个TCP连接上传送多个资源。应对了TCP慢启动的特性。请求分优先级,重要的资源优先传送。 H
转 SPDY、HTTP/2、QUIC协议
weixin_34178244的博客
09-20 70
  转自:http://blog.csdn.net/hursing 1 SPDY协议 1.1 概述 SPDY为speedy(单词原意:快速的)的缩写,读音也就是speedy。 SPDY协议已发布过4个草案,分别为版本1、2、3、3.1。目前版本4已在试验阶段,但未发布,Chromium里已有一些针对版本4的代码。 SPDY对比HTTP的优势: 复用连接,可在一个TCP连接上传送多...
深入理解Nginx
02-03
书中首先通过介绍官方Nginx的基本用法和配置规则,帮助读者了解一般Nginx模块的用法,然后重点介绍了女口何开发HTTP模块(含HTTP过滤模块)来得到定制化的Nginx,其中包括开发—个功能复杂的模块所需要了解的各种知识...
深入理解nginx
05-09
深入理解Nginx:模块开发与架构解析(第2版)pdf格式文字版
深入理解Nginx模块开发与架构解析(第2版).zip
03-04
书中首先通过介绍官方Nginx的基本用法和配置规则,帮助读者了解一般Nginx模块的用法,然后重点介绍了女口何开发HTTP模块(含HTTP过滤模块)来得到定制化的Nginx,其中包括开发—个功能复杂的模块所需要了解的各种知识...
深入理解Nginx模块开发与架构解析.pdf
06-01
在第一部分的前两章中,将只探讨如何使用Nginx这一问题。阅读这一部分的读者不需要了解C语言,就可以学习如何部署Nginx,学习如何向其中添加各种官方、第三方的功能模块,如何通过修改配置文件来更改Nginx及各模块的...
nginx stream proxy 模块的ssl连接源码分析
一个致力于开源代码学习、分析和交流的博客
02-07 2037
本为对 nginx的ngx_stream_proxy_module与上游服务器建立ssl连接的过程进行了详细分析
深入理解nginx一致性哈希负载均衡模块[上]
一个致力于开源代码学习、分析和交流的博客
03-08 1880
本文通过nginx源码详细介绍了一致性哈希负载均衡算法的实现原理
深入理解ngx_http_proxy_connect_module模块(上)
一个致力于开源代码学习、分析和交流的博客
02-27 1559
本文详细对ngx_http_proxy_connect_module的使用和源码进行了分析
nginx upstream server主动健康检测模块ngx_http_upstream_check_module 使用和源码分析(下)
一个致力于开源代码学习、分析和交流的博客
02-06 1540
本文介绍了在ngx_http_upstream_check_module模块中扩展实现udp健康检测的能力。
深入理解ngx_http_proxy_connect_module模块(下)
一个致力于开源代码学习、分析和交流的博客
02-27 1528
本文详细对ngx_http_proxy_connect_module的使用和源码进行了分析
深入理解nginx模块开发与架构解析
12-15
nginx是一个高性能的Web服务器,同时也是一个反向代理服务器和电子邮件(IMAP/POP3)代理服务器。它最显著的特点是具有高并发处理能力和低内存占用。为了满足不同用户的需求,nginx提供了模块化的架构,可以通过开发模块来扩展其功能。 深入理解nginx模块开发,首先需要了解nginx的架构。nginx的主要部分包括master进程和worker进程。master进程负责管理worker进程,而worker进程负责处理实际的客户端请求。nginx的模块系统允许开发者向master进程或worker进程添加自定义的功能。 在nginx的模块开发中,主要涉及到以下几个方面的内容: 1. 配置文件解析:nginx的配置文件是使用类似于C语言的语法进行解析的。模块开发者需要了解nginx的配置文件语法,并且能够解析和处理自定义的配置项。 2. HTTP请求处理:开发基于HTTP协议的模块时,需要能够处理和解析HTTP请求。模块可以拦截特定的URL,处理请求,并返回相应的响应。 3. 事件处理:nginx使用事件驱动的模型来处理并发请求。模块开发者需要了解事件驱动的机制,实现自己的事件处理逻辑,并与nginx的事件处理系统进行交互。 4. 内存管理:nginx以低内存占用著称,这是因为它使用了自己的内存管理机制。模块开发者需要了解nginx的内存管理方式,并遵循相应的规则。 5. 日志记录:nginx提供了灵活的日志记录功能。模块开发者可以通过定制日志记录方式,将特定的信息记录到指定的日志文件中。 总的来说,深入理解nginx模块开发与架构解析需要对nginx的整体架构有深入了解,并具备一定的系统编程和网络编程经验。通过开发和调试模块,可以进一步理解nginx的原理和内部实现,掌握更多高性能Web服务器开发的知识和技巧。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码农心语

您的鼓励是我写作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值