Nginx支持SNI证书,已经ssl_server_name的使用

VIP文章 已于 2024-01-17 10:10:19 修改
阅读量913 收藏
点赞数
分类专栏: Nginx 文章标签: 数据库
于 2023-10-07 16:49:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzhongcy/article/details/133645667
版权

整理了一些网上的资料,这里记录一下,供大家参考

什么是SNI?

    传统的应用场景中,一台服务器对应一个IP地址,一个域名,使用一张包含了域名信息的证书。随着云计算技术的普及,在云中的虚拟机有了一个IP,对应多个域名,使用多张证书的应用场景,SNI技术应运而生。SNI(Server Name Indication),即实现了一个服务器使用多个域名证书的TLS扩展,支持用户配置多个域名证书。

SNI请求特点

    HTTP请求的Host字段在请求的Header中。发起HTTPS请求时,在TLS握手阶段,还无法进行HTTP数据的解析,此时TLS协议的Client Hello字段新增了一个Server Name字段,请求的客户端可以通过这个字段填充请求的Host信息,而服务端在TLS握手阶段就可以选择请求处理的证书,实现SNI的功能。

 各种工具对SNI的支持各种工具对SNI的支持icon-default.png?t=N7T8https://en.wikipedia.org/wiki/Server_Name_Indication

(1)主流的浏览器  可以理解为客户端工具

(2)curl和wget之类的命令行工具  可以理解为客户端工具

curl和nginx关于SNI一些细节

 已知的问题:curl和jdk'版本过低(客户端不支持SNI)','导致'ssl握手的'SNI'问题

 (3)库和编程语言 可以理解为客户端工具

 (4)web服务器 可以理解为服务端

  • 默认SNI是'开启的'

Nginx支持的配置

    Nginx支持SNI,允许在同一个TLS服务端口下,配置不同的域名,用户通过请求不同的证书域名,可返回相应的upstream响应结果。

    本示例配置了一个证书域名为“lwl.test.com”的单向认证代理服务,一个证书域名为“lwl.default.com”的双向认证代理服务,使用相同的443端口,具体配置如下:

# Settings for a TLS enabled server.
    upstream lwl.test.com {
        server 192.168.58.196;
    }

    upstream default {
        server 192.168.58.195;
    }

  server {
        listen       443 ssl;
        listen       [::]:443 ssl;
        server_name  lwl.test.com;
        root         /usr/share/nginx/html;

        ssl_certificate /etc/nginx/ssl_sni/server/lwl.test.com/server.crt;
        ssl_certificate_key /etc/nginx/ssl_sni/server/lwl.test.com/server.key;

        ssl_session_cache shared:SSL:1m;
        ssl_session_timeo

最低0.47元/天 解锁文章
zzhongcy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx双向认证配置proxy_ssl_verify_depth详解
01-08
当待验证的客户端证书是由intermediate-CA签发,而非有root-CA签发时,需要在proxy_ssl_trusted_certificate中配置intermediate-CA和root-CA组成的证书链文件 也就是说,直接尝试使用中级 CA 来验证客户端是无法通过...
TLS/SSL 协议详解 (9) Client hello
Network/Storage/Linux Kernel
09-06 2万+
  SSL报文格式可以大致分为2部分,Record层 和 Handshake层,Record层中指定了后续数据的类型,SSL版本(一般来说固定),以及后续数据的长度。Handshake层欧威Record层的负载,其关系类似TCP层的数据作为IP层的负载。例如上图中显示的那样,SSL报文头部是TVL格式:  Content Type: Handshake  Version: TLS 1.0  Len...
HTTPS之SNI介绍与Nginx多域名支持
交换一个思想,能得到俩思想
04-14 4511
一、介绍 早期的SSLv2根据经典的公钥基础设施PKI(Public Key Infrastructure)设计,它默认认为:一台服务器(或者说一个IP)只会提供一个服务,所以在SSL握手时,服务器端可以确信客户端申请的是哪张证书。 但是让人万万没有想到的是,虚拟主机大力发展起来了,这就造成了一个IP会对应多个域名的情况。解决办法有一些,例如申请泛域名证书,对所有*.yourdomai...
深入理解nginx的https sni机制
最新发布
一个致力于开源代码学习、分析和交流的博客
02-29 1324
本文从ssl上下文的初始化、ssl连接的初始化、sni回调处理,到最后动态证书加载的整个流程说明了nginx sni的实现过程
SNI(Server Name Indication)
浴血重生-学习空间
11-22 5万+
Server Name Indication(SNISNI (Server Name Indication)是用来改善服务器与客户端 SSL (Secure Socket Layer)和 TLS (Transport Layer Security) 的一个扩展。主要解决一台服务器只能使用一个证书(一个域名)的缺点,随着服务器对虚拟主机的支持,一个服务器上可以为多个域名提供服务
nginx使用ssl模块配置HTTPS支持
kindy的开发工作室
03-08 631
默认情况下ssl模块并未被安装,如果要使用该模块则需要在编译时指定–with-http_ssl_module参数,安装模块依赖于OpenSSL库和一些引用文件,通常这些文件并不在同一个软件包中。通常这个文件名类似libssl-dev。 生成证书 可以通过以下步骤生成一个简单的证书: 首先,进入你想创建证书和私钥的目录,例如: $ cd /usr/local/nginx/
如何优雅的用 Nginx 在公网上快速搭建一个加密数据通道
easylife206的专栏
04-12 1817
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !最近在跨机房做一个部署,因为机房之间暂时没有专线,所以流量需要经过公网。对于经过公网的流量,我们一般需要做以下的安全措施:只能允许已知的 IP 来访问;流量需要加密;第一项很简单,一般的防火墙,或者 Iptables 都可以做到。对于加密的部分,最近做了一些实验和学习,这篇文章总结加密的实现...
Nginx-变量 && TLS/SSL配置
qq_51574197的博客
05-30 1049
NginxNginx变量概述内置变量内置变量是否可以重新赋值使用变量Set设置自定义变量set自定义变量作用域set变量与子请求变量mappingMap中让结果变量取值本身具备动态性map缓存map缓存-强制刷新参数其他重要的变量举例NGINX API(NGINX Plus)API配置持久化TLS/SSLNginx中的应用NGINX SSL基本配置介绍SSL 会话卸载SNI支持基于SNI证书的lazy loadingSSL Session CachingSSL Session Ticket如何升级ngi
nginx(十)SNI理解
wzj_110的博客
11-26 4615
SNI介绍 (1)SNI产生的背景 摘录'不同'的地方,便于'辩证'学习 client和server'先建立了tcp连接',再经过'TLS握手',才能实现'https通信' 大白鲨抓包看SNI (2)SNI的概念 TLS握手的过程 服务器名称指示'Server Name Indication,简称SNI'是一个'扩展的TLS'计算机联网协议,在该协议下,在'握手过程开始时'通过'客户端'告诉它正在连接的服务器的主机名称 这允许服务器在'相同的IP地址和TCP端口..
Nginx反向代理,当后端为Https时的一些细节和原理
赶路人儿
11-08 9077
Nginx反向代理,当后端为Https时的一些细节和原理
证书SNI和CA
liucaixin2016的博客
03-14 690
SNI概念 SNIServer Name Indication)定义在RFC 4366,是一项用于改善SSL/TLS的技术,在SSLv3/TLSv1中被启用,它允许客户端在发起SSL握手请求时(具体说来,是客户端打出SSL请求中的ClientHello阶段),就提交请求的Host信息,使得服务器能够切换到正确的域并返回相应的证书 CA认证 CA认证,证书颁发机构(CA, Certificate Authority)即颁发数字证书的机构。即电子认证服务,是指为电子签名相关各方提供真实性、可靠性的活动 1.证
详解Nginx虚拟主机配置中server_name的具体写法
09-30
主要介绍了Nginx虚拟主机配置中server_name的具体写法,server_name服务器名是虚拟主机中必须配置的重要参数,需要的朋友可以参考下
Nginx虚拟主机多server_name的顺序问题
09-16
今天在配置Nginx + PHP + MediaWiki中,发现一个问题:MediaWiki所在的Nginx虚拟主机绑定了多个域名,但是不管通过什么域名访问MediaWiki首页,都会被跳转到其中的一个域名上。
Nginx配置支持ThinkPHP的PATH_INFO
09-30
主要介绍了Nginx配置支持ThinkPHP的PATH_INFO,本文在Ubuntu的开发环境加配置成功,需要的朋友可以参考下
502 bad gateway原因、解决方法
热门推荐
zzhongcy的专栏
02-14 12万+
在当今时代,每个人都使用互联网。 通常,在使用 Internet 和访问网页时,计算机和网站之间可能会出现连接问题。 这些连接问题会产生某些错误代码,称为 HTTP 状态代码。 这些代码根据类型分为 1xx、2xx、3xx、4xx 和 5xx。 由于不同的原因,所有 5xx 状态码都是从服务器端收到的。 了解如何修复 Google Chrome 中的 err_connection_reset、err_internet_disconnected、err_network_chang...
Nginx: Connection reset by peer 错误定位
zzhongcy的专栏
04-08 9万+
最近Nginx反向代理遇到了“104: Connection reset by peer”错误,google了一下,这里记录一下。 1 错误原因:检查链接是否已经close。 upstream发送了RST,将连接重置。 errno = 104错误表明你在对一个对端socket已经关闭的的连接调用write或send方法,在这种情况下,调用write或se...
Nginx的try_files指令详解
zzhongcy的专栏
11-26 4万+
Nginx的配置语法灵活,可控制度非常高。在0.7以后的版本中加入了一个try_files指令,配合命名location,可以部分替代原本常用的rewrite配置方式,提高解析效率。 查看nginx手册 try_files 语法: try_files file ... uri 或 try_files file ... = code 默认值: 无 作用域: server location Checks for the existence of files in order, and returns
Nginx - request_time和upstream_response_time详解
zzhongcy的专栏
04-28 3万+
最近分析服务器性能,考虑到nginx在前面做反向代理,这里查一下nginx日志来反应服务器处理时间的问题。 网上查了查资料,这里记录一下。 1、request_time 官网描述:request processing time in seconds with a milliseconds resolution; time elapsed between the first bytes wer............
nginx启用ssl_preread_server_name并透传真实客户端IP
05-28
启用`ssl_preread_server_name`并透传真实客户端IP需要进行如下配置: 1. 在Nginx配置文件中加入`ssl_preread`相关配置: ```nginx stream { map $ssl_preread_server_name $upstream { mydomain.com backend_mydomain; myotherdomain.com backend_myotherdomain; default backend_default; } upstream backend_mydomain { server 192.168.1.1:443; } upstream backend_myotherdomain { server 192.168.1.2:443; } upstream backend_default { server 192.168.1.3:443; } server { listen 443; proxy_pass $upstream; ssl_preread on; ssl_preread_server_name on; proxy_protocol on; } } ``` 2. 在后端服务器中安装支持`proxy_protocol`的软件,如HAProxy等。 3. 配置后端服务器接收`proxy_protocol`协议,并解析出客户端的真实IP地址。 这样配置之后,Nginx使用`ssl_preread`预读取客户端的TLS版本和SNI信息,并将请求转发到相应的后端服务器上。同时,Nginx也会通过`proxy_protocol`透传客户端的真实IP地址给后端服务器。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值