nginx调用openssl函数源码分析

已于 2022-11-02 17:40:40 修改
阅读量3k 收藏
点赞数
分类专栏: nginx开发学习汇总 文章标签: ssl 网络协议 网络 nginx nginx反向代理
于 2022-01-27 10:12:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/realmardrid/article/details/122654229
版权

NGINX部分

在ngx_http_init_connection中把recv→handler设置为ngx_http_ssl_handshake。

然后将这个读时间加入到epoll中,主要是分析handshake函数。

receive client hello

static void

ngx_http_ssl_handshake(ngx_event_t *rev)

{

...

    n = recv(c->fd, (char *) buf, size, MSG_PEEK);

    //判断协议

    if (n == 1) {

        if (buf[0] & 0x80 /* SSLv2 */ || buf[0] == 0x16 /* SSLv3/TLSv1 */) {

            // 获取loc conf和server conf
            clcf = ngx_http_get_module_loc_conf(hc->conf_ctx,
                                                ngx_http_core_module);


            if (clcf->tcp_nodelay && ngx_tcp_nodelay(c) != NGX_OK) {
                ngx_http_close_connection(c);
                return;
            }


            sscf = ngx_http_get_module_srv_conf(hc->conf_ctx,
                                                ngx_http_ssl_module);

            // 调用该函数生成ssl

            if (ngx_ssl_create_connection(&sscf->ssl, c, NGX_SSL_BUFFER  != NGX_OK)
            {
                ngx_http_close_connection(c);
                return;
            }
        }

    }
...

}

ngx_ssl_create_connection

ngx_int_t

ngx_ssl_create_connection(ngx_ssl_t *ssl, ngx_connection_t *c, ngx_uint_t flags)

{

...

    sc->session_ctx = ssl->ctx;

    sc->connection = SSL_new(ssl->ctx);


    if (sc->connection == NULL) {

        ngx_ssl_error(NGX_LOG_ALERT, c->log, 0, "SSL_new() failed");

        return NGX_ERROR;

    }

    if (SSL_set_fd(sc->connection, c->fd) == 0) {

        ngx_ssl_error(NGX_LOG_ALERT, c->log, 0, "SSL_set_fd() failed");

        return NGX_ERROR;

    }

...

}

first收到client hello之后,完成初始化。

然后调用ngx_ssl_handshake函数,里面会调用openssl的ssl_do_handshake。

ngx_int_t

ngx_ssl_handshake(ngx_connection_t *c)

{

...

    n = ngx_ssl_handshake_early_data(c);

    n = SSL_do_handshake(c->ssl->connection);

...

}

do handshake的时候调用的是openssl的async job的库

OPENSSL部分

ASYNC JOB

int SSL_do_handshake(SSL *s)

{

...

if (SSL_in_init(s) || SSL_in_before(s)) {

        if ((s->mode & SSL_MODE_ASYNC) && ASYNC_get_current_job() == NULL) {

            struct ssl_async_args args;

            args.s = s;

            ret = ssl_start_async_job(s, &args, ssl_do_handshake_intern);

        } else {

            ret = s->handshake_func(s);

        }

    }

...

}
int ASYNC_start_job(ASYNC_JOB **job, ASYNC_WAIT_CTX *wctx, int *ret,
                    int (*func)(void *), void *args, size_t size)

{

...
    /* Start a new job */
    if ((ctx->currjob = async_get_pool_job()) == NULL)
        return ASYNC_NO_JOBS;
...

}

static ASYNC_JOB *async_get_pool_job(void) {
...
if (job == NULL) {

        /* Pool is empty */

        if ((pool->max_size != 0) && (pool->curr_size >= pool->max_size))

            return NULL;

        job = async_job_new();

        if (job != NULL) {
            if (! async_fibre_makecontext(&job->fibrectx)) {
                async_job_free(job);
                return NULL;
            }
            pool->curr_size++;
        }
    }
...
}

先get context做初始化,然后malloc一个stack,创建堆栈把函数放进去。

makecontext创建调用运行函数async_start_func,函数本身是使用当前job中的func。

int async_fibre_makecontext(async_fibre *fibre)

{

    fibre->env_init = 0;

    if (getcontext(&fibre->fibre) == 0) {           //初始化当前ucontext

        fibre->fibre.uc_stack.ss_sp = OPENSSL_malloc(STACKSIZE);

        if (fibre->fibre.uc_stack.ss_sp != NULL) {

            fibre->fibre.uc_stack.ss_size = STACKSIZE;

            fibre->fibre.uc_link = NULL;

            makecontext(&fibre->fibre, async_start_func, 0);

            return 1;

        }

    } else {

        fibre->fibre.uc_stack.ss_sp = NULL;

    }

    return 0;

}

pause job最关键的是swapcontext,在func中一旦被调用的话,就可以立即切换栈信息。

切回start_job的主函数,根据job→status=ASYNC_JOB_PAUSING来返回

int ASYNC_pause_job(void)

{

...
    if (!async_fibre_swapcontext(&job->fibrectx,
                                 &ctx->dispatcher, 1)) {

        ASYNCerr(ASYNC_F_ASYNC_PAUSE_JOB, ASYNC_R_FAILED_TO_SWAP_CONTEXT);

        return 0;

    }
...

}

切回主函数后可以发现start job是for死循环任务,会根据job的状态进行返回

int ASYNC_start_job(ASYNC_JOB **job, ASYNC_WAIT_CTX *wctx, int *ret,

                    int (*func)(void *), void *args, size_t size)

{

...

    for (;;) {

        if (ctx->currjob != NULL) {

            if (ctx->currjob->status == ASYNC_JOB_PAUSING) {

                *job = ctx->currjob;

                ctx->currjob->status = ASYNC_JOB_PAUSED;

                ctx->currjob = NULL;

                return ASYNC_PAUSE;

            }

            if (ctx->currjob->status == ASYNC_JOB_PAUSED) {

                ctx->currjob = *job;

                /* Resume previous job */

                if (!async_fibre_swapcontext(&ctx->dispatcher,

                        &ctx->currjob->fibrectx, 1)) {

                    ASYNCerr(ASYNC_F_ASYNC_START_JOB,

                             ASYNC_R_FAILED_TO_SWAP_CONTEXT);

                    goto err;

                }

                continue;

            }
...

}
static int ssl_start_async_job(SSL *s, struct ssl_async_args *args,

                               int (*func) (void *))

{

...

    switch (ASYNC_start_job(&s->job, s->waitctx, &ret, func, args,
                            sizeof(struct ssl_async_args))) {

    case ASYNC_ERR:

        s->rwstate = SSL_NOTHING;

        SSLerr(SSL_F_SSL_START_ASYNC_JOB, SSL_R_FAILED_TO_INIT_ASYNC);

        return -1;

    case ASYNC_PAUSE:

        s->rwstate = SSL_ASYNC_PAUSED;

        return -1;

}

...

}

返回的这个状态码,在nginx里面接到就是SSL_ERROR_WANT_ASYNC。

securitysun
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx-1.21.6及Nginx依赖的rpm安装包
09-03
编译源码安装Nginx时,需要GCC来转换源代码为可执行二进制文件。 - **gcc-c++**: 这是GCC的一部分,专门用于C++编译。虽然Nginx主要用C语言编写,但可能包含C++编写的模块或组件。 4. **离线安装**: 在没有网络...
Nginx源代码分析
06-01
* os:Nginx对各操作系统下的函数进行封装以及实现核心调用的目录 基本数据类型 在core/ngx_config.h目录里面定义了基本的数据类型的映射,大部分都映射到C语言自身的数据类型。包括: * ngx_int_t:整型 * ngx_...
SSL原理分析
TrustNature
10-22 6493
关键词:SSL,PKI,MAC 摘    要:SSL利用数据加密、身份验证和消息完整性验证机制,为基于TCP等可靠连接的应用层协议提供安全性保证。本文介绍了SSL的产生背景、安全机制、工作过程及典型组网应用。 缩略语: 缩略语 英文全名 中文解释 AES Advanced Encryption Standard
物联网系统运维——移动电商服务器单点部署,web服务器部署,Nginx Web服务介绍,Nginx性能,部署,架构,及实验:安装并设置Nginx(重点)
最新发布
WZY22502701的博客
06-23 1306
●模块化设计良好的扩展性,可以通过模块方式进行功能扩展。主控进程和worker是同步实现的,一-个worker出现问题,会立刻启动另一个worker。一万个长连接(keep-alive) , 仅消耗2.5MB内存。不用停止服务器,实现更新配置文件,更换日志文件、更新服务器程序版本。官方数据每秒支持5万并发。优秀的反向代理功能和灵活的负载均衡策略。
Nginx源码分析 - 初探Nginx的架构(01)
alpha_love的博客
05-11 544
Nginx是我们日常使用非常多的一款服务器。 Nginx源码写的非常漂亮,是c语言学习和进阶的最好的学习资料。我们这里分析的是1.13.1的版本。 一、源码目录 下面我们先看下Nginx的目录结构: Nginx源码主要分布在src/目录下,而src/目录下主要包含三部分比较重要的模块。 core:包含了Nginx的最基础的和框架。包括了内存池、链表、hashmap、String等常用的数据结构。 event:事件模块。Nginx自己实现了事件模型。而我们所熟悉的Memcached是使用了
Nginx源码解析- http模块分析
weixin_33726313的博客
12-20 211
为什么80%的码农都做不了架构师?>>> ...
mod_ssl源码分析
zzhongcy的专栏
03-24 2289
apache(httpd-2.2.14) mod_ssl源码分析一     前几天读了张中庆老师的《Apache源代码全景分析》让我受益匪浅,因为公司最近要分析Apache源代码中的mod_ssl部分,但是这本书中这部分介绍的非常少,在此的基础上我开始了mod_ssl的探索:     要分析mod_ssl,首先要分析openssl在通信中的位置,那就是位于TCP以上,http(应用层以下
Nginx源代码分析.pdf
09-30
+ os:nginx 对各操作系统下的函数进行封装以及实现核心调用的目录 二、基本数据结构 ### 2.1 简单的数据类型 在 core/ngx_config.h 目录里面定义了基本的数据类型的映射,大部分都映射到 C 语言自身的数据类型...
nginx 相关RPM 包
04-02
3. **kernel-headers-3.10.0-1160.el7.x86_64.rpm**:内核头文件包,用于编译针对特定内核版本的模块,包括Nginx可能需要的一些系统调用头文件。 4. **gcc-c++-4.8.5-44.el7.x86_64.rpm**:C++编译器,如果你需要...
nginx安装必备的全套依赖包
06-13
2. **Glibc**:全称为GNU C Library,它是Linux系统的核心之一,提供了许多基本的系统调用函数Nginx依赖它来执行各种操作。 3. **PCRE (Perl Compatible Regular Expressions)**:这是用于正则表达式匹配的...
SSL协议的分析及实现
09-20
SSL是一种在客户端和服务器端之间建立安全通道的协议。SSL一经提出,就在Internet上得到广泛的应用。SSL最常用来保护Web的安全。为了保护存有敏感信息Web的服务器的安全,消除用户在Internet上数据传输的安全顾虑。 OpenSSL是一个支持SSL认证的服务器.它是一个源码开放的自由软件,支持多种操作系统。OpenSSL软件的目的是实现一个完整的、健壮的、商业级的开放源码工具,通过强大的加密算法来实现建立在传输层之上的安全性。OpenSSL包含一套SSL协议的完整接口,应用程序应用它们可以很方便的建立起安全套接层,进而能够通过网络进行安全的数据传输。
openssl1.1.1源码
09-25
该资源为openssl1.1.1源码,用与编译出相关的SSL,对于openssl的编译过程及使用其创建https server 可参考本账号博客文章。
OpenSSL-Win32.rar
08-20
安装时,你需要将bin目录添加到系统环境变量PATH中,以便在命令行中调用OpenSSL的命令行工具,如`openssl.exe`。 2. **SSL/TLS协议**:OpenSSL 实现了SSLv2、SSLv3、TLSv1.0、TLSv1.1、TLSv1.2以及最新的TLSv1.3等...
nginx HTTP处理流程.docx
01-15
3. **编译源码**:执行`make`命令,这将根据Makefile编译源代码,生成可执行文件`nginx`。所有源代码位于`src`目录下,其中`src/core`、`src/event`、`src/http`等子目录分别对应核心功能、事件处理、HTTP服务器等...
OpenSSL-Win64.zip
07-30
- **Web服务器**:Apache、Nginx等Web服务器通过配置OpenSSL实现HTTPS支持。 - **开发应用**:在C/C++或其他语言的项目中,利用OpenSSL进行加密、签名等安全操作。 - **安全工具**:例如生成自签名证书、检查...
SSL原理及分析
m0_70061999的博客
05-15 1701
SSL原理及设计
nginx http2 源码分析
lhjsx0518的专栏
11-16 827
static ngx_chain_t * ngx_http_v2_send_chain(ngx_connection_t *fc, ngx_chain_t *in, off_t limit) 流程走读: 1 找到当前chain中第一个非空buf; 2 没有一个非空buf,直接返回(?); 3 如果当前stream发送窗口不大于0或者当前http2连接发送窗口等于0,直接返回;
SSL/TLS深度解析--在 Nginx 上部署 TLS
weixin_33770878的博客
11-26 3127
利用 openssl 源代码安装 Nginx [root@localhost software]# tar xf nginx-1.15.5.tar.gz [root@localhost software]# cd nginx-1.15.5/ [root@localhost nginx-1.15.5]# groupadd nginx [root@localhost nginx-1.15.5]# u...
Nginx源码架构与核心模块分析
Nginx源码分析 Nginx源码分析是对Nginx源代码的深入分析,涵盖了Nginx代码的目录和结构、基本数据结构、Nginx的core module结构和运行机制、Nginx的http module结构和运行机制等方面。 **Nginx代码的目录和结构** ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值