nginx 针对https提供ssl/tls配置功能的支持,这些功能由openssl库提供,除了原生的nginx模块能对https提供支持之外,openresty也同样在nginx原生的基础上 提供了lua脚本层面对https进行配置与处理的功能。
nginx openssl模块在ngx_http_ssl_module实现,实际与openssl进行交互的模块还是在ngx_event_openssl以及ngx_event_openssl_stapling模块中。目前nginx可支持的ssl/tls版本如下: SSLv2 SSLv3 TLSv1 TLSv1.1 TLSv1.2 TLSv1.3,具体配置可支持的版本可以*进行设置。openssl模块配以配置openssl的开启以及关闭,通常https配置的端口一般是443。
目前的ssl模块支持配置多个ssl证书及整数的秘钥。通过ssl_certificate配置ssl证书,通过ssl_certificate_key配置ssl秘钥。当然也支持直接将密码信息存放在文件中,通过nginx配置实现密码信息的读取及设置,这个功能由ssl_password_file配置指令实现。
pem证书信息设置可以使用ssl_dhparam配置PEM证书信息;同样,ssl加密所用的椭圆曲线的参数信息可以通过ssl_ecdh_curve指令进行配置,这里可以简单地介绍ssl加密算法为什么名为ecdh,ecdh是Elliptic-Curve和Diffie-Hellman的缩写,openssl只支持有名称的椭圆曲线(named curves),在nginx模块中默认配置的曲线是prime256v1的曲线算法。
nginx提供对ssl支持版本的设置,可选择的范围是SSLv2、SSLv3、TLSv1、TLSv1.2、TLSv1.3,如果不设置支持的协议版本,默认使用的范围是TLSv1、TLSv1.1、TLSv1.2。ssl_ciphers可以设置openssl所使用的加密算法套件。而ssl部分使用的缓冲buffer大小也可以通过配置设置,默认的大小为16k。
同样,nginx ssl模块提供了双向的安全验证功能,可以配置来验证客户端,开启及关闭双向验证功能的指令是ssl_verify_client;而双向验证的级别同样也能进行设置,ssl_verify_depth可以满足。对于客户端的证书,在nginx ssl模块中可以通过ssl_client_certificate设置。而受信任的CA证书通过ssl_trusted_certificate进行设置。ssl_prefer_server_ciphers的开关可以使用server服务器的偏好来使用openssl的加密算法套件,openssl提供了算法套件的偏好的配置功能。
nginx提供了对ssl session的缓存配置设置,配置ssl_session_cache为off或者none 这两种情况下 是不会启用ssl的session缓存功能的;而built_in配置ssl_session缓存,则会使用openssl内部的session cache机制;shared方式使用的ssl session cache使用的是nginx ssl模块提供的共享内存形式的缓存,这种session缓存能够被nginx所有的worker进程进行共享访问,shared模式下可提供session cache大小的阈值设置,cache淘汰过期的方式为简单的LRU方式进行淘汰。openssl提供了对session的超时时间的设置,指令是ssl_session_timeout。
此外,nginx也提供了openssl中对ssl的session ticket控制的功能,以及session ticket key(当然可以配置多个)配合openssl的session ticket的功能进行使用。
ssl_crl提供对PEM证书进行检查的功能,主要是对于客户端的证书进行检查(对吊销的证书进行检查);nginx同样提供了OCSP stapling的功能,stapling缓存访问得到的证书信息,减少OCSP的验证,提高SSL处理的效率,开启nginx stapling功能之后,与之配合的指令有ssl_stapling_file,里面保存了证书的信息;ssl_stapling_responder保存了响应的url信息,另外还可以使用ssl_stapling_verify,ssl_stapling_verify可以对stapling缓存的证书信息进行验证,ssl_stapling_verify的功能默认是不会开启的。
结尾处,贴一张线上的nginx ssl部分的配置,下一篇会着重与openssl具体的处理及实现机制