openresty集成ssl验签功能

已于 2023-11-13 16:20:46 修改
阅读量509 收藏
点赞数
分类专栏: docker lua openresty 文章标签: openresty ssl linux lua
于 2023-11-13 16:18:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenguihua5/article/details/134379791
版权
博客围绕CentOS测试和构建SSL验签镜像展开。在CentOS测试中,介绍使用阿里云yum repo、更新yum组件、安装所需组件、生成证书及验证签名等操作。构建SSL验签镜像时,涉及基础镜像制作、启动容器、安装依赖、打开nginx日志开关、修改配置文件及创建lua脚本等内容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

centos测试

使用阿里云的yum repo

mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d.bak/CentOS-Base.repo
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
yum clean all
yum makecache
yum repolist

需要更新yum组件,否则安装openssl-devel提示冲突

yum update

安装所需yum组件

#luaossl的依赖项
yum install epel-release
yum install openssl-devel
#lua包管理器
yum install luarocks
yum install lua-devel

安装所需lua组件

#ssl组件
luarocks install luaossl
#base64组件,openresty镜像中不用执行该命令,如执行会提示Error: No results matching query were found.
luarocks install mime

生成证书命令

openssl genrsa -out private.key 2048
openssl rsa -in private.key -pubout -out public.pem
openssl rsa -in private.key -outform der -out private.der

验证签名lua脚本

local pkey = require("openssl.pkey")
local digest = require("openssl.digest")
local mime = require("mime")

-- 读取pem格式公钥证书文件
local pk_cert_data = assert(io.open("/root/public.pem", "rb")):read("*a")

local pkey =pkey.new()

pkey:setPubinsiglicKey(pk_cert_data)

-- 原始数据
local data = "Hello, World!"

-- 创建SHA256摘要对象
local digest_data = digest.new("sha256")
print(digest_data)
-- 更新摘要
digest_data:update(data)
--使用java项目中签名方法生成的签名
local signatures ="fwOupXYu/6bl8RqMJWztrU6trsKkGXSh2nyQyHHmiuqlyCXWm5sE3zCzqoYVB5ppYIwzYGWYmhEH9jRzmB6R7oZXDLKnom/BaRnUMmrHjmgaI5AL9jAAyLKckNlOl1ptS35a7A3PyFDTBkOxq6gEZjJhMHxJVe4W98JJMpZqzZ5nM5nOVDKRsUrziSO0M7u/nDt03IoxB8wN34ljkjhXbT8v6my85QYTH3e0Pj9dcBiUV9Sv04GOCEr+eE9HznWirb169+MsulGERi2ILZAf+kTWJ/I5TYrGvbviowhtvRU4j1zJvnVRE1rjOEZpvxmBUAoSXpWOSUcqlVKAwsLbaQ=="
local signature =mime.unb64(signatures)
-- 打印签名
print("Signature:", signature)

-- 验证签名
local verify_result = pkey:verify(signature, digest_data)

-- 判断验签结果
if verify_result == true then
  print("Signature is valid.")
elseif verify_result == false then
  print("Signature is invalid.")
else
  print("Verification failed.")
end

输出

userdata: 0x21973e8
Signature:      ��v.�����%l��N��¤t��|��q���%֛��0����i`�3`e���4s���W
                                                                  ���o�i�2jǎh#�
                                                                               �0
Signature is valid.

生成签名的方法(AuthUtil)

    public static void main(String[] args) {
        String json2String = "Hello, World!";
        String sign = RsaUtil.standardSign(RsaUtil.getPrivateKeyFromDer("/opt/private.der"), json2String);
        System.out.println(sign);
        PublicKey publicKey = RsaUtil.getPublicKeyFromPem("/opt/public.pem");
        AuthUtil authUtil = new AuthUtil();
        boolean b = authUtil.standardVerifyMsgByPemPubKey(sign, json2String, publicKey);
        System.out.println(b);

    }
    /**
 * 获取私钥
 *
 * @param filename 私钥路径
 * @return 私钥
 */
@SneakyThrows
public static PrivateKey getPrivateKeyFromDer(String filename) {
    Security.addProvider(new BouncyCastleProvider());

    byte[] keyBytes = Files.readAllBytes(Paths.get(filename));
    PKCS8EncodedKeySpec spec = new PKCS8EncodedKeySpec(keyBytes);
    KeyFactory kf = KeyFactory.getInstance(KEY_ALGORITHM);
    return kf.generatePrivate(spec);
}
 /**
 * 生成签名
 */
public static String standardSign(PrivateKey priKey, String tobeSigned) {
    try {
        Signature sign = Signature.getInstance(SIGNATURE_ALGORITHM);
        sign.initSign(priKey);
        sign.update(tobeSigned.getBytes(StandardCharsets.UTF_8));
        byte[] si
最低0.47元/天 解锁文章
openresty服务器】:源码编译openresty支持ssl,增加service系统服务,开机启动,自己本地名证书,配置https访问
freewebsys的专栏
02-11 654
如果我们在配置文件nginx.conf中使用了正则表达式,那么在编译Nginx时就必须把PCRE库编译进Nginx,因为Nginx的HTTP模块需要靠它来解析正则表达式。zlib库用于对HTTP包的内容做gzip格式的压缩,如果我们在nginx.conf中配置了gzip on,并指定对于某些类型(content-type)的HTTP响应使用gzip来进行压缩以减少网络传输量,则在编译时就必须把zlib编译进Nginx。通过以上步骤,您可以在OpenResty中成功配置SSL,使网站支持HTTPS协议。
nginx配置HTTPS
热门推荐
刘勇的博客
09-19 9万+
使用ssl模块配置同时支持http和https并存一,生成证书# 1、首先,进入你想创建证书和私钥的目录,例如: cd /etc/nginx/# 2、创建服务器私钥,命令会让你输入一个口令: openssl genrsa -des3 -out server.key 1024# 3、创建名请求的证书(CSR): openssl req -new -key server.key -out server
openresty配置ssl证书
TechTrek
05-22 5377
1.安装openresty与openssl安装参考 2.证书生成 创建服务器私钥,命令会让你输入一个口令: openssl genrsa -des3 -out ca.key 1024 创建名请求的证书(CSR): openssl req -new -key ca.key -out ca.csr 在加载SSL支持的Nginx并使用上述私钥时除去必须的口令: cp ca.key ca.k
配置OpenResty支持SSL(不受信任的证书)
weixin_34208185的博客
02-13 778
#关闭防火墙 chkconfig iptables off service iptables stop #关闭SELINUX sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config setenforce 0 #上传openresty_auto_install到 /usr/local/soft...
Nginx域名https访问转发配置
qq_36633403的博客
06-10 1008
研究了Nginx域名https转发配置,在此写下以作记录 server { listen 443 ssl; #配置HTTPS的默认访问端口为443。 #如果未在此处配置HTTPS的默认访问端口,可能会造成Nginx无法启动。 #如果您使用Nginx 1.15.0及以上版本,请使用listen 443 ssl代替listen 443和ssl on。 server_name 域名xxx; #需要将yourdomain.com替换成证书绑定的域名。 # root
多域名自动化生成证书及OpenResty使用 lua-resty-auto-ssl 配置证书
11-22 1634
安装luarocks。
openresty安装
weixin_39934651的博客
01-10 914
wget https://openresty.org/download/openresty-1.17.8.1.tar.gz tar -xzvf openresty-1.17.8.1.tar.gz mv openresty-1.17.8.1 openresty yum install -y libpcre3-dev libssl-dev perl make build-essential curl pcre-devel openssl-devel gcc gcc-c++ openssl openssl-
openresty--使用高版本的openssl(linux 环境下)
csdncqmyg的博客
06-28 5224
注:openresty在动态加载证书的时候使用的模块需要openssl-1.0.2e版本以上,所以我们需要重新编译openresty。 1.安装openssl 从官网上下载最新版openssl,解压,进入解压目录键入命令行: ./configure --prefix=/usr/local/openssl make &&make install 2.重新编译openresty 注意接下来
自动申请(并自动更新)免费ssl证书的Openresty镜像
xiaojun207的博客
12-21 1175
这是一个可以自动申请(并自动更新)免费ssl证书的Openresty镜像。证书申请和更新使用的是开源工具acme.sh。你可以设置证书服务商:zerossl, letsencrypt,buypass,ssl等等,当然,你也可以把它当普通的openresty镜像使用。
openresty+SSL安装
TechTrek
05-21 1219
openresty说明软件列表 zlib1.2.8 pcre8.21 ngx_cache_purge-2.3 nginx_upstream_check_module-0.3.0 openssl-1.0.2 安装# ./configure –prefix=/home/app/ngxserver –with-http_realip_module –with-pcre –with-luajit –wi
openresty ssl问题解决
kevin的专栏
01-04 7285
最近在捣鼓微信小程序,在使用openrestyssl发起https调用时,报如下错误: lua ssl certificate verify error: (20: unable to get local issuer certificate), 经排查发现是nginx中配置的证书问题,那么本地究竟应该使用哪个证书呢,我发现/etc/ssl/certs下有一大堆,具体配置哪一个,
OpenResty实战
lydwan888的专栏
03-09 1630
核心:Nginx核心安装yum -y install yum-utils(包含yum-config-manager软件包)yum-config-manager --add-repo https://openresty.org/yum/cn/centos/OpenResty.repo配置文件:/usr/local/openresty/nginx/conf/nginx.conf网站存放目录:/usr/...
openresty配置https自名证书
m0_58775546的博客
05-21 2678
如何自制https
openresty 网关rsa+aes+redis鉴权解密
胡汉三
07-11 2600
之前使用了openresty进行了rsa跟aes的加解密测试。现在我们整合一下、使用openresty连接redis做鉴权、解密。之前提到过,我们不使用cookie而是使用token来认证用户信息。而且token是我们自己加密的、加密的规则就是使用aes进行加密。我们再来缕一缕整个流程。客户端(浏览器)流程: 第一步:先获取token(临时token),返回的token是aes加密的,这里的密钥我们就使用固定的aes密钥就好了。token里面包含userId跟tokenId,我们使用token
OpenResty概述
诚的博客
10-25 549
OpenResty®是一个基于Nginx与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关。 OpenResty®通过汇聚各种设计精良的Nginx模块(主要由 OpenResty 团队自主开发),从而将Nginx有效地变成一个强大的通用 Web 应用平台。这样,Web 开发人员和系统工程师可以使用 Lua 脚本语言调动Nginx支持的各种 C 以及 ...
OpenResty网关鉴权方案
gedingbaod的专栏
02-18 1391
需要一款网关,既可以支持原有的前端代理,也可以兼容后端的GateWay功能:l 支持前端部署访问,同时支持HTTPSl 支持对后端的反向代理,负载均衡与健康检查l 支持网关鉴权,符合鉴权要求的请求才能够放行l 支持接口级的白名单放行。
每个后端都应该了解的OpenResty入门以及网关安全实战
Wayn111的博客
10-15 419
Web 应用防火墙(Web Application Firewall,简称 WAF)对网站或者 App 的业务流量进行恶意特征识别及防护,在对流量清洗和过滤后,将正常、安全的流量返回给服务器,避免网站服务器被恶意入侵导致性能异常等问题,从而保障网站的业务安全和数据安全。自此本文介绍了OpenResty入门以及使用 Lua 脚本实现一些常见的网关安全功能等。
1Panel使用GMSSL+Openresty实现国密/RSA单向自适应
Anye 博客
02-18 1712
国密算法是国家商用密码算法的简称。自2012年以来,国家密码管理局以《中华人民共和国密码行业标准》的方式,陆续公布了SM2/SM3/SM4等密码算法标准及其应用规范。其中“SM”代表“商密”,即用于商用的、不涉及国家秘密的密码技术。其中SM2为基于椭圆曲线密码的公钥密码算法标准,包含数字名、密钥交换和公钥加密,用于替换RSA/Diffie-Hellman/ECDSA/ECDH等国际算法;SM3为密码哈希算法,用于替代MD5/SHA-1/SHA-256等国际算法;
acmev2怎么用_lua-resty-acme: ACMEv2 客户端和 Let's Encrypt 证书的自动化管理
weixin_34669783的博客
12-24 508
相比于现有实现,不需要安装任何第三方程序或者 C 扩展,所有依赖均为 Lua 和 FFI 实现。安装使用 opm:opm install fffonion/lua-resty-acmeopm 中没有 luaossl 库,所以这种安装使用的是基于 FFI 的 Openssl 后端;需要 OpenResty 链接了大于等于 1.1 版本的 OpenSSL。如果有完整的编译工具链,可以使用 luaroc...
openresty
最新发布
03-29
### OpenResty 功能的实现方法 在 OpenResty 中实现功能通常涉及以下几个方面: 1. **接收请求并解析参数** 使用 Lua 脚本处理 HTTP 请求,提取名字段和其他业务数据。 2. **名的有效性** 根据约定好的算法(如 HMAC-SHA256 或 RSA),重新计算名并与接收到的名对比。 以下是基于 HMAC-SHA256 的具体实现方式及其代码示例[^2]。 #### 代码示例:HMAC-SHA256 ```lua local cjson = require "cjson" local ngx_md5 = ngx.md5 local hmac = require "resty.hmac" -- 假设密钥为 secret_key local SECRET_KEY = "your_secret_key_here" -- 获取请求体中的 JSON 数据 local function get_request_body() ngx.req.read_body() local body_data = ngx.req.get_body_data() if not body_data then ngx.log(ngx.ERR, "Failed to read request body") return nil end return cjson.decode(body_data) end -- 计算名 local function calculate_signature(data, key) local hmac_obj = hmac:new(key, hmac.ALGOS.SHA256) local signature = hmac_obj:final(cjson.encode(data)) return ngx.encode_base64(signature) end -- 名 local function verify_signature(request_data, received_signature) local calculated_signature = calculate_signature(request_data, SECRET_KEY) return calculated_signature == received_signature end -- 主逻辑 local function main() local data = get_request_body() if not data then ngx.status = ngx.HTTP_BAD_REQUEST ngx.say("Invalid request body") return end -- 提取名字段 local received_signature = data.signature if not received_signature then ngx.status = ngx.HTTP_BAD_REQUEST ngx.say("Missing signature field") return end -- 移除名字段以便参与名计算 data.signature = nil -- if verify_signature(data, received_signature) then ngx.say("Signature verified successfully!") else ngx.status = ngx.HTTP_UNAUTHORIZED ngx.say("Invalid signature") end end main() ``` 上述代码实现了以下功能: - 解析请求体中的 JSON 数据。 - 将名字段移除后重新计算名。 - 对比计算得到的名与客户端传递的名是否一致。 如果需要使用更复杂的加密机制(如 RSA),则可以通过 OpenSSL 库来完成公私钥加解密操作。 --- ### 注意事项 1. **安全性考虑** 确保密钥存储安全,避免泄露。建议通过环境变量或其他配置管理工具加载密钥。 2. **性能优化** 如果流量较大,可以引入缓存机制减少重复计算开销。 3. **错误处理** 完善异常捕获逻辑,防止因非法输入导致服务崩溃。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值