使用ssl_certificate_by_lua指令动态加载证书

最新推荐文章于 2024-07-17 17:41:37 发布
最新推荐文章于 2024-07-17 17:41:37 发布
阅读量1.2k 收藏
点赞数 8
分类专栏: nginx 文章标签: ssl 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huantianxidi/article/details/134192192
版权
本文详细介绍了如何在OpenResty环境下配置SSL,包括下载、解压、启动OpenResty,以及使用openssl生成和配置服务器证书和私钥的过程。还涉及了lua脚本ssl.lua的应用,以动态管理证书内容。
摘要由CSDN通过智能技术生成

1、下载 OpenResty - 下载

根据自己系统选择下载,我的是64位

2、解压到目录

3、启动openresty 

进入解压后的目录,执行nginx.exe 

浏览器输入 http://localhost 查看是否正常。显示以下画面就表示没有问题。

接下来可以开始准备动态安装证书

4、使用openssl-win64生成测试证书(待补充)

openssl 下载地址 。 也可以使用csdn下载​​​​​​​

5、进入conf目录,编辑nginx.conf

#增加ssl server配置
	server {
        listen       443 ssl;
        server_name  localhost;

        ssl_certificate      cert/server.crt;
        ssl_certificate_key  cert/server.key;
		ssl_certificate_by_lua_file conf\cert\ssl.lua;


        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        location / {

			root   html;
            index  index.html index.htm;
        }
    }

6、编写ssl.lua , 放到conf/cert下

local ssl = require "ngx.ssl"
 
-- 清除之前设置的证书和私钥
local ok, err = ssl.clear_certs()
if not ok then
    ngx.log(ngx.ERR, "failed to clear existing (fallback) certificates")
    return ngx.exit(ngx.ERROR)
end
 
-- 获取证书内容,比如 io.open("my.crt"):read("*a")
local cert_data, err
cert_data = io.open("conf\\cert\\localhost.crt"):read("*a")
if not cert_data then
    ngx.log(ngx.ERR, "failed to get PEM cert: ", err)
    return
end
 
-- 解析出 cdata 类型的证书值,你可以用 lua-resty-lrucache 缓存解析结果
local cert, err = ssl.parse_pem_cert(cert_data)
if not cert then
    ngx.log(ngx.ERR, "failed to parse PEM cert: ", err)
    return
end
 
local ok, err = ssl.set_cert(cert)
if not ok then
    ngx.log(ngx.ERR, "failed to set cert: ", err)
    return
end
 
local pkey_data, err
pkey_data = io.open("conf\\cert\\localhost.key"):read("*a")
if not pkey_data then
    ngx.log(ngx.ERR, "failed to get DER private key: ", err)
    return
end
 
local pkey, err = ssl.parse_pem_priv_key(pkey_data)
if not pkey then
    ngx.log(ngx.ERR, "failed to parse pem key: ", err)
    return
end
 
local ok, err = ssl.set_priv_key(pkey)
if not ok then
    ngx.log(ngx.ERR, "failed to set private key: ", err)
    return
end

欢天xi地
关注
  • 8
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openresty/lua 动态更新证书
machh的专栏
10-09 119
先列个提纲,后面补充详细内容。
OpenResty
沙沙罗曼的专栏
09-02 1008
最近笔者写了两篇在OpenResty上进行插件开发的文章,但可能忽略了一个关键点,即读者也许不知道OpenResty是什么,能做什么,因此对于怎么做并不感兴趣。本文尝试从是什么、能做什么、怎么做三个角度对OpenResty进行更详细的说明,争取让读者理解并对OpenResty有兴趣。 Nginx & Lua Nginx OpenResty最精简的描述是等于Nginx + Lua。 Nginx是HTTP反向代理杰出的代表、最佳实践,主要可完成如下工作: 静态资源代理 请求转发,按一定路由规则转
SSL证书详细介绍
迷思
02-18 5240
SSL证书详细介绍 背景介绍 每个人都有自己的身份证,身份证都是由警局进行办理,有身份证可以证明你是合法公民,没有身份证说明这个人很可能有问题。 回到正题,今天介绍的是SSL证书,那么SSL证书实际上充当上述的身份证,是一种类似于驾驶证、身份证的电子副本,不同的是,SSL证书配置在服务器上,是服务器的身份证,它是由一些合法权威的CA机构进行颁发,CA机构就类似于上述的警局,那么警局是否一定权威或者...
openresty lua-resty-dns 域名解析
weixin_43931625的博客
07-27 1735
openresty lua-resty-dns 域名解析
域名自动化生成证书OpenResty使用 lua-resty-auto-ssl 配置证书
11-22 1388
安装luarocks。
openresty各个阶段执行的指令解释及其执行顺序
任我行的博客
07-03 2201
openresty各个阶段执行的指令解释及其执行顺序: init_by_lua*:初始化 nginx 和预加载 lua(nginx 启动和 reload 时执行); init_worker_by_lua*:每个工作进程(worker_processes)被创建时执行,用于启动一些定时任务,比如心跳检查,后端服务的健康检查,定时拉取服务器配置等; ssl_certificate_by_lua*:对 https 请求的处理,即将启动下游 SSL(https)连接的 SSL 握手时执行,用例:按照每个请求设置.
Nginx 面试分享(十四):Nginx Lua扩展模块
之乎者也·的博客
12-07 1462
前面我们提到过,OpenResty 是由淘宝工程师开发的,所以其官方网站()我们读起来是非常的方便。OpenResty 是一个基于 Nginx 与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关。所以本身 OpenResty 内部就已经集成了 Nginx 和 Lua,所以我们使用起来会更加方便。
Lua_API.rar_lua_lua api
09-24
Lua_API.rar 是一个关于Lua编程语言API的压缩包资源,主要涵盖了Lua的API操作和函数的详细讲解。Lua是一种轻量级的脚本语言,被广泛应用于游戏开发、嵌入式系统以及各种软件工具中。其简洁的语法和强大的API使其成为...
lua_test.rar_C++_c# lua_c++ lua_lua_lua调用C++
09-24
本示例中的"lua_test.rar"文件集是一个关于C++与Lua交互的实践案例,主要探讨了如何通过Lua脚本调用C++编写的函数。下面我们将详细探讨这个主题。 首先,Lua是一种轻量级的脚本语言,它简洁、易学,常被用于游戏...
use_Lua.rar_c++ lua_lua_lua C++ 嵌入_lua vc
09-24
7. **清理工作**:在程序结束前,别忘了使用`lua_close()`关闭Lua状态机,释放资源。 Lua的灵活性在于它的轻量级和强大的元表机制,使得在C++中定义复杂的数据结构和行为变得容易。例如,通过元表,你可以模拟出...
ngx_stream_ssl_preread_module调研.docx
06-06
SSL/TLS 协议 ClientHello 消息提取模块,主要用于提取 SNI(Server Name Indicate)或者 ALPN(Application Layer Protocol Negotiation,应用层协议协商)信息,以便在服务端没有证书的情况下,给 HTTPS 做反向...
cjson.rar_LUA JSON_cjson_cjson.lua_lua_piledxg
09-22
例如,`local json_data = '{"name":"John", "age":30}'`,可以使用`local lua_table = cjson.decode(json_data)`将其解析为Lua表。 3. **序列化Lua到JSON**:`cjson.encode()`函数用于将Lua表转换为JSON字符串。这...
OpenResty概述
诚的博客
10-25 435
OpenResty®是一个基于Nginx与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关。 OpenResty®通过汇聚各种设计精良的Nginx模块(主要由 OpenResty 团队自主开发),从而将Nginx有效地变成一个强大的通用 Web 应用平台。这样,Web 开发人员和系统工程师可以使用 Lua 脚本语言调动Nginx支持的各种 C 以及 ...
基于lis3dh的简易倾角仪c源码_开源网关apisix源码阅读和最佳实践
weixin_40004057的博客
11-30 546
大家应该都接手过这种项目,前人找一个开源软件改一改,发上线。我这里便曾经遇到过类似的问题。随着需求的增加,各种维护人员东改改西改改,原来的开源项目被改的面目全非,再也无法和上游合并。甚至TLS协议栈被改掉,不再兼容HTTPS协议。然后有些人基于这个代码又拖出来一份新代码,实现自己的功能。核心代码被魔改,各种变量删的删,想法是好的,“方便维护”,“方便开源”,“方便KPI”,结果是睿智的...
Openresty资料之运行机制
宅羽的博客
05-28 2334
OpenResty基于Nginx,把Web服务的整个生命周期和请求处理流程清晰地划分出了若干个阶段(Phase) ◆ 处理阶段: 一个Web 服务的生命周期可以分成三个阶段 initing:服务启动,该阶段通常是读取配置文件,初始化内部数据结构 running:服务运行,接受客户端的请求,返回响应结果 exiting:服务停止,做一些必要的清理工作,如关闭监听端口 OpenResty 目前关注的...
Openresty 学习笔记(二)Nginx Lua 正则表达式相关API
Tinywan
01-15 876
ngx.re.match 语法: captures, err = ngx.re.match(subject, regex, options?, ctx?, res_table?) 环境: init_worker_by_lua*, set_by_lua*, rewrite_by_lua*, access_by_lua*, content_by_lua*, header_filter_by_...
阿里云 CDN HTTPS 最佳实践——动态密钥套件
weixin_33853827的博客
11-09 268
背景 在 ssllabs 中可以测试域名SSL 安全等级: 影响这个测试等级的最主要因素就是密钥套件,在接入阿里云 CDN 的所有域名中,绝大多数域名评级都是 A,但是有少数域名为了兼容一些老浏览器或者客户端,需要支持比如 RC4 这样的加密算法,这样就导致评级为 B,但用户体验更重要,这就需要为这些对密钥套件有特殊需求的域名特殊配置密钥套件。 另...
电商网站HTTPS实践之路(三)——性能优化篇
皖南笑笑生的博客
05-17 7392
通过分析TLS握手过程的细节我们会发现HTTPS比HTTP会增加多个RTT网络传输时间,既增加了服务端开销,又拖慢了客户端响应时间。因此,性能优化是必不可少的工作。很多文章都集中在服务端的性能优化上,但对于电商行业而言,大部分的用户流量源于App,因此客户端的性能优化配合服务端才能使收益最大化。 1. HTTPS带来的负担 1.1 增加的传输延时 1.2 服务端额外开销 2. 服务端性能...
windows openssl局域网生成ssl证书
最新发布
ing的博客
07-17 197
因内网需要进行网络安全防护,需要进行生成内网ssl证书。在此之前也询问了一些第三方厂家发现都会收取费用,最后使用了OpenSSLOpenSSL:一个开源的、用于SSL/TLS协议的加密工具,是互联网加密传输的核心基础组件。它提供了强大的功能,包括数据加解密、数据签名、证书签发和校验等。
SSL_CTX_use_certificate
07-27
SSL_CTX_use_certificate 函数是 OpenSSL 库中用于设置 SSL/TLS 上下文中证书的函数。它用于将一个 X509 结构体类型的证书加载SSL 上下文中,以供 SSL/TLS 握手时使用。 这个函数接受两个参数:SSL_CTX 对象和指向证书的 X509 结构体指针。它将指定的证书SSL 上下文关联起来,以便在 SSL/TLS 握手时使用。 示例代码如下: ```c #include <openssl/ssl.h> // ... SSL_CTX* ctx = SSL_CTX_new(SSLv23_server_method()); if (ctx == NULL) { // 错误处理 } // 加载证书 if (SSL_CTX_use_certificate_file(ctx, "server.crt", SSL_FILETYPE_PEM) <= 0) { // 错误处理 } // ... ``` 以上代码创建了一个 SSL 上下文对象 `ctx`,并使用 `SSL_CTX_use_certificate_file` 函数将名为 "server.crt" 的 PEM 格式证书加载到上下文中。 请注意,此函数仅设置证书,需要单独使用 `SSL_CTX_use_PrivateKey` 函数设置相应的私钥。 希望这能解答你的问题!如果有任何进一步的疑问,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值