相关文章推荐
追风的炒粉  ·  Auto CAD 2020 2019 ...·  6 月前    · 
买醉的机器猫  ·  最值钱稀少铜钱图片 - 百度·  7 月前    · 
绅士的石榴  ·  【海棠推文】无限流《在逃生游戏和主神doi》 ...·  1 年前    · 
还单身的充电器  ·  囚笼之爱解说 - 抖音·  1 年前    · 
帅气的黄瓜  ·  我的英雄学院229话:图怀斯能力升级,倍增个 ...·  1 年前    · 
Code  ›  [nginx] nginx使用SNI功能的方法 - toong
https://www.cnblogs.com/hugetong/p/11727275.html
干练的小刀
1 年前

SNI细节

由于HTTP的HOST字段在HTTP GET中。而TLS的握手以及证书验证都是在HTTP开始之前。

这个时候,TLS协议的HELLO字段中增加了一个server name字段,让HTTP的client的可以提前

设置HOST,从而使server在tls的握手阶段可以选择证书。

然后,这个机制本身可以抛开http不关心,只要TLS client提前设置了server name,便可以实现SNI

nginx的配置

检测nginx是否支持sni, http://nginx.org/en/docs/http/configuring_https_servers.html#Server%20Name%20Indication 

$ nginx -V
TLS SNI support enabled

启用了sni的nginx,如下变量会被赋值


$ssl_server_name


证书命令ssl_certificate,也可以通过变量进行设置,形如:


ssl_certificate     $ssl_server_name.crt;
ssl_certificate_key $ssl_server_name.key;


于是我们可以通过 nginx config中的嵌入逻辑,完成sni的完整配置。


stream {
       upstream test {
               server 127.0.0.1:50001;
       map $ssl_server_name $sni_string {
               test1.www.local test1;
               test2.www.local test2;
               test3.www.local test3;
               default test1;
       map $ssl_server_name $sni_string445 {
               test1.www.local test4451;
               test2.www.local test4452;
               test3.www.local test4453;
               default test4451;
       server {
               listen 444 ssl;
               ssl_certificate /data/sni/sni_${sni_string}.cer;
               ssl_certificate_key /data/sni/sni_${sni_string}.key;
               proxy_pass test;
       server {
               listen 445 ssl;
               ssl_certificate /data/sni445/sni_${sni_string445}.cer;
               ssl_certificate_key /data/sni445/sni_${sni_string445}.key;
               proxy_pass test;

注意,如果希望map命令支持host的最长匹配与正则,需要再添加hostnames关键字。


http://nginx.org/en/docs/http/ngx_http_map_module.html#map


map命令的本质,可以理解为通过旧的变量定义出了一个新的变量。


 模拟tcp客户端的方法:


openssl s_client -connect t9:5000 -CAfile ~/Keys/https/root/root.cer -servername test2.www.local


[openssl][nginx] 使用openssl模拟ssl/tls客户端测试nginx stream


模拟http客户端的方法:


curl --cacert ~/Keys/https/root/root.cer -vvvv  https://test1.tls.local/
curl --cacert ~/Keys/https/root/root.cer -vvvv  https://test2.tls.local/
curl --cacert ~/Keys/https/root/root.cer -vvvv  https://test3.tls.local/
curl --cacert ~/Keys/https/root/root.cer -vvvv  https://test3.www.local/
 
推荐文章
追风的炒粉  ·  Auto CAD 2020 2019 2018 2017 2016 2015 2014 2013 2012 2011 2010 全版本 附带安装教程+入门到精通视频教程_cad 2012 分页标签-C
6 月前
买醉的机器猫  ·  最值钱稀少铜钱图片 - 百度
7 月前
绅士的石榴  ·  【海棠推文】无限流《在逃生游戏和主神doi》作者:谢仁煊(全文无删减)_哔哩哔哩_bilibili
1 年前
还单身的充电器  ·  囚笼之爱解说 - 抖音
1 年前
帅气的黄瓜  ·  我的英雄学院229话:图怀斯能力升级,倍增个性堪比影分身|怀斯|图怀斯|阵线_新浪新闻
1 年前
今天看啥   ·   Py中国   ·   codingpro   ·   藏经阁   ·   小百科   ·   link之家   ·   卧龙AI搜索
删除内容请联系邮箱 2879853325@qq.com
Code - 代码工具平台
© 2024 ~ 沪ICP备11025650号