nginx 学习笔记(四)nginx + lua 使用 ssl 验证 浏览器证书

最新推荐文章于 2023-07-21 10:48:26 发布
最新推荐文章于 2023-07-21 10:48:26 发布
阅读量3.2k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011196623/article/details/82881598
版权

开发十年,就只剩下这套Java开发体系了 >>>   hot3.png

场景:接着笔记(三)的鉴权,需要先调用第三方服务进行鉴权,第三方对应的浏览器需要导入证书,否则就会报400错误,只有当鉴权成功后才能往下进行反向代理,此处就不强调如何生成证书,如何生成证书可以自行百度,此文关注点在如何配置ssl,以及配置验证浏览器的证书后如何获取浏览器证书的信息。

笔记(一)中介绍的是nginx源码安装,此处介绍个Openresty安装。

Centos7安装Openresty通过yum安装

/etc/yum.repos.d/ 下新建 OpenResty.repo 内容

[openresty]
name=Official OpenResty Repository
baseurl=https://copr-be.cloud.fedoraproject.org/results/openresty/openresty/epel-$releasever-$basearch/
skip_if_unavailable=True
gpgcheck=1
gpgkey=https://copr-be.cloud.fedoraproject.org/results/openresty/openresty/pubkey.gpg
enabled=1
enabled_metadata=1

yum install openresty -y
默认会安装到 /usr/local/openresty/ 目录下, 目录下包含了 luajit, lualib, nginx, openssl, pcre, zlib 这些组件。

到此就安装好了,简单吧,比源码安装简单多了。

1、nginx 配置

# HTTPS server
    #
    server {
        listen       443 ssl;
        server_name  proxy.ztns.com;
		
		ssl on;
        # 证书公钥 它会被发送到连接服务器的每个客户端
        ssl_certificate /usr/local/openresty/nginx/conf/ssl/proxy.server.crt;
        # 私钥是用来解密的
        ssl_certificate_key /usr/local/openresty/nginx/conf/ssl/proxy.server.key;
        # CA签发机构证书
        ssl_client_certificate /usr/local/openresty/nginx/conf/ssl/ca.crt;
        # 开启浏览器证书验证
        ssl_verify_client on;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;
		ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
		
		location /esns-server {
          access_by_lua_file '
              local res = ngx.location.capture("/auth",{method = ngx.HTTP_POST})
              if res.status == ngx.HTTP_OK then
	           return
	          end
	         if res.status == ngx.HTTP_FORBIDDEN then
		       ngx.exit(res.status)
	         end
	        ngx.exit(ngx.HTTP_INTERNAL_SERVER_ERROR)
         ';
	     proxy_pass https://192.168.2.1/server;
		 proxy_read_timeout 150;
	    }
		
       # 鉴权开始
		location  /auth {
			proxy_pass https://192.168.1.1:8080/authentication;
			proxy_pass_request_body off;
            proxy_set_header Content-Length "";
			proxy_set_header Host $host:$proxy_port;
            proxy_set_header X-Real-IP $remote_addr;
			proxy_set_header X-Original-URI $server_url;
			proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;     
            proxy_set_header  Cookie $http_cookie;
			proxy_read_timeout 150;
			# 解析证书信息
			proxy_set_header X-SSL-Client-S-DN $ssl_client_s_dn;
			# 解析状态
            proxy_set_header X-CLIENT-VERIFY $ssl_client_verify;
			# 关键参数:这个变量开启后,才能自定义错误页面,当后端返回404,nginx拦截错误定义错误页面
			proxy_intercept_errors on;
			
		}
		
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
		# 后期自定义404页面
		error_page  404 /404.html;
		location = /404.html {
           root   html;
        }
		# 自定义403页面 
		error_page  403  /403.html; 
		location = /403.html {
           root   html;
        }
		
		location = /favicon.ico {
	        log_not_found off;
	        access_log off;
        }
    }

2、说明

注:ssl_certificate 和 ssl_certificate_key 的路径就是我们ssl证书申请的路径

ssl_certificate证书其实是个公钥,它会被发送到连接服务器的每个客户端,ssl_certificate_key私钥是用来解密的,所以它的权限要得到保护但nginx的主进程能够读取。当然私钥和证书可以放在一个证书文件中,这种方式也只有公钥证书才发送到client。

ssl_session_timeout 客户端可以重用会话缓存中ssl参数的过期时间,内网系统默认5分钟太短了,可以设成30m即30分钟甚至4h。

ssl_protocols指令用于启动特定的加密协议,nginx在1.1.13和1.0.12版本后默认是ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2TLSv1.1TLSv1.2要确保OpenSSL >= 1.0.1 ,SSLv3 现在还有很多地方在用但有不少被攻击的漏洞。

ssl_ciphers选择加密套件,不同的浏览器所支持的套件(和顺序)可能会不同。这里指定的是OpenSSL库能够识别的写法,你可以通过 openssl -v cipher ‘RC4:HIGH:!aNULL:!MD5’(后面是你所指定的套件加密算法) 来看所支持算法。

ssl_prefer_server_ciphers on设置协商加密算法时,优先使用我们服务端的加密套件,而不是客户端浏览器的加密套件。

在鉴权的location中,请求头中会带有如下属性,根据下面的属性就能验证证书信息是否正确。

当浏览器有对应的证书时ssl_client_verify对应的值为SUCCESS, ssl_client_s_dn对应的值就是证书的信息

# 解析证书信息
proxy_set_header X-SSL-Client-S-DN $ssl_client_s_dn;
# 解析状态
proxy_set_header X-CLIENT-VERIFY $ssl_client_verify;

关于上面说到的自定义页面,但是如何在自定义页面上加载nginx本地的图片呢?

location =/404.png{
    # 图片存放路径
	root  html/images;
	access_log off;
	expires 30d;
}

然后在自定义页面上添加如下内容

<div class="wrap">
    <div class="logo">
        <img src="https://域名/images/404.png" alt=""  />
        <p>sorry 您要查看的页面不存在或已删除</p>
    </div>
</div>

最后启动nginx,就可以看到效果了。

小风010766
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nginx安装ssl模块和nginx_lua模块
IsResultXaL的博客
09-01 2113
声明,为了简单介绍,所有命令默认root权限在Centos环境下,生成证书前先要确保安装openSSL和openSSL-devel模块yum install openssl yum install openssl-devel 下载编译LuaJIT2.0(是一个利用JIT编译技术把Lua脚本直接编译成机器码由CPU运行)wget -c http://luajit.org/download/LuaJIT
nginx+lua+redis 集群 连接插件和脚本
12-09
本资源包“nginx+lua+redis集群 连接插件和脚本”正是为了解决这三者之间的协同工作,特别是针对原插件没有密码功能的问题进行了改进,使得安全性得到了提升。 首先,Nginx是一款轻量级的Web服务器/反向代理服务器...
章:nginx重要模块+HTTPS+Lua详解
weixin_34292402的博客
12-23 418
官方模块* nginx -V 显示的信息就是加载的模块信息 Module(1)ngx_http_stub_status_module 本机状态 该ngx_http_stub_status_module模块提供对基本状态信息的访问。 此模块不是默认生成的,应该使用--with-http_stub_sta...
华为云GuassDB(for Redis)发布全新版本推出:Lua脚本和SSL连接加密
华为云官方博客
09-09 998
摘要:9月8日,华为云GuassDB(for Redis)正式推出全新版本。新版本内核带来性能提升、无损升级、慢日志统计等多维度产品体验,同时推出Lua脚本和SSL连接加密两大重要功能,让业务设计更加灵活,公网访问更安全。
nginx使用ssl模块配置HTTPS支持
wangdeyi1987的专栏
03-23 325
默认情况下ssl模块并未被安装,如果要使用该模块则需要在编译时指定–with-http_ssl_module参数,安装模块依赖于OpenSSL库和一些引用文件,通常这些文件并不在同一个软件包中。通常这个文件名类似libssl-dev。 生成证书 可以通过以下步骤生成一个简单的证书: 首先,进入你想创建证书和私钥的目录,例如:     $ cd /usr/local/nginx/co
nginx + lua 实现服务器集群https session 共享
zongyue_wang的博客
06-24 696
nginx + lua 实现服务器集群https session 共享 参考: https://segmentfault.com/a/1190000018858981?utm_source=tag-newest pcre-8.43 ./configure --prefix=/usr/local/pcre-8.43 make make install # cd openssl-1.1.0d pat...
tcp ssl连接lua例程
weixin_42604188的博客
12-22 198
下面是一个基于 lua 的 TCP SSL 连接的例子: -- 加载 SSL 库local ssl = require("ssl") -- 创建一个 socket local socket = require("socket") local tcp = socket.tcp() -- 连接到服务器 tcp:connect("www.example.com", 443) -- 将 socket...
nginx+lua+redis实现token验证
09-29
本文将深入探讨如何利用`nginx+lua+redis`来实现`token`验证,以确保只有经过授权的用户才能访问受保护的资源。 首先,让我们理解`token`验证的基本原理。`token`验证是一种身份验证机制,它允许客户端通过提供一个...
nginx+lua+redis通过匹配客户端ip进行灰度发布
06-29
nginx+lua+redis通过匹配客户端ip进行灰度发布 本文将讲述如何使用nginxlua和redis来实现灰度发布,通过匹配客户端IP来实现灰度发布。灰度发布是一种常见的软件发布方式,它允许开发者在生产环境中发布新的版本,...
nginx+lua学习
02-24
1.1.网关架构1.2.nginx命令和信号控制nginx-sstop快速关闭,不管有没有正在处理的请求nginx-squit优雅关闭方式,推出前完成已经接受的连接请求nginx-cnginx配置文件地址启动nginx-sreload重启nginx-sreopen重新打开...
高并发Nginx+lua是如何抗住的
02-24
提到高并发或者抗压力,有这种高qps经验的同学第一反应大都是Nginx+lua+Redis,网上也满天非那种高并发架构方案大都是这种,但是Nginx+lua来做接入层到底是怎么抗住压力的呢?本篇顺序:1、Nginx如何抗住的高并发,...
指南-Luat二次开发教程-功能开发教程-SSL SOCKET
qq_39894861的博客
06-28 450
目录ssl简介API说明实现流程单向与双向认证示例开机与连接网络单向/双向认证常见问题连接服务器失败HTTPS介绍socket异常的情况排查SSL双向认证和SSL单向认证的区别相关资料以及购买链接 ssl 简介 安全套接字协议(Secure Socket Layer)位于TCP/IP与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为记录协议和握手协议,其中记录协议建立在可靠的传输协议之上,为高层协议提供数据封装、压缩、加密等基本功能的支持;握手协议其建立在记录协议之上,用于在实际的数据传输开始前
docker 、windows\centos编译Nginx + lua 验证 浏览器证书
一纸荒凉i的博客
06-02 368
nginx 编译opelssl,lua,docker、centos、windows
关于nginx开启特定路径的ssl证书验证
04-16 3803
不幸的, nginx不支持特定路径开启ssl_verify_client, 如果在location下面使用ssl_verify_client, 就会提示 nginx: [emerg] “ssl_verify_client” directive is not allowed here 某处看到的说法是 path based client ssl verification
nginx + lua 请求转发
wang896599331的博客
12-24 1420
记录一次 公众号大量同一时间发送模板,微信回调公众号告诉后台是否发送成功,因为没有业务处理,直接返回的success,报错Event=Template Send Job Finish。 这时候,nginx写了个转发到lua脚本处理请求,期间也出现过各种问题来阻碍我,简直疯了。实测有效~ -- 将请求交给PHP处理 function return_declined() ngx.req.set_uri('/' .. ngx.var.uri .. '?' .. ngx.var.args..
如何解决SSL: CERTIFICATE_VERIFY_FAILED
最新发布
linux_tcpdump的博客
07-21 7080
"SSL: CERTIFICATE_VERIFY_FAILED"错误通常在使用Python的requests或urllib等库进行HTTPS请求时出现,它表明SSL证书验证失败。请注意,忽略证书验证使用自定义CA证书都是暂时解决方案,不推荐在生产环境中长期使用。在生产环境中,请确保服务器证书的合法性和正确性,并正确配置SSL证书验证。如果系统时间不正确,可能导致证书验证失败。有时,缺少中间证书或根证书可能导致验证失败。如果你的网络使用代理,确保代理配置正确,并不会干扰SSL证书验证
SSL双向认证的认证模式设置问题
热门推荐
enjoy.day
11-23 1万+
今天介绍一下SSL双向认证服务器端认证模式的设置,很关键。 初始化ssl时,要使用SSL_CTX_set_verify函数设置验证模式,下面介绍下集中模式: OpenSSL 验证证书模式 OpenSSL 有验证证书的模式,这样可以自己根据验证结构来决定应用程序的行为。验证模式分别是: SSL_VERIFY_NONE:完全忽略验证证书的结果。当握手必须完成的话,就
OpenResty概述
诚的博客
10-25 434
OpenResty®是一个基于NginxLua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关。 OpenResty®通过汇聚各种设计精良的Nginx模块(主要由 OpenResty 团队自主开发),从而将Nginx有效地变成一个强大的通用 Web 应用平台。这样,Web 开发人员和系统工程师可以使用 Lua 脚本语言调动Nginx支持的各种 C 以及 ...
lua sha1封装实现
xiejunna的博客
03-09 4526
–先调用nginx模块中封装好的函数ngx.sha1_bin() 获取到的是一个二进制的sha1结果 –再把二进制的sha1结果转成16进账,转小写,即可module(..., package.seeall) --bcd 展开 function to_hex(str) return ({str:gsub(".", function(c) return string.format("%0

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值