zoukankan      html  css  js  c++  java
  • Nginx配置ssl模块踩坑与过坑案例

    前景提要

    目前越来越多的产品开始采用HTTPS,而采用HTTPS就需要SSL证书,所以需要在nginx中使用ssl模块配置HTTPS的支持。本文就是nginx配置ssl模块中一个踩坑与过坑的案例。

    HTTPS科普:

    首先来科普下什么是HTTPS?HTTPS (基于安全套接字层的超文本传输协议 或者是 HTTP over SSL) 是一个 Netscape 开发的 Web 协议。可以这么认为:HTTPS = HTTP + SSL。

    超文本传输协议 (HTTP) 是一个用来通过互联网传输和接收信息的协议。HTTP 使用请求/响应的过程,因此信息可在服务器间快速、轻松而且精确的进行传输,当我们在访问web页面时,采用的是不安全的HTTP协议。所以Netscape推出了HTTPS,也就是基于安全套接字层的 HTTP 协议

    大多数情况下,HTTP 和 HTTPS 是相同的,因为都是采用同一个基础的协议,作为 HTTP 或 HTTPS 客户端——浏览器,设立一个连接到 Web 服务器指定的端口。当服务器接收到请求,它会返回一个状态码以及消息,这个回应可能是请求信息、或者指示某个错误发送的错误信息。系统使用统一资源定位器 URI 模式,因此资源可以被唯一指定。而 HTTPS 和 HTTP 唯一不同的只是一个协议头(https)的说明,其他都是一样的。下文列举一下HTTP 和 HTTPS 的不同之处:

    HTTP 的 URL 以 http:// 开头,而 HTTPS 的 URL 以 https:// 开头
    HTTP 是不安全的,而 HTTPS 是安全的
    HTTP 标准端口是 80 ,而 HTTPS 的标准端口是 443
    在 OSI 网络模型中,HTTP 工作于应用层,而 HTTPS 工作在传输层
    HTTP 无需加密,而 HTTPS 对传输的数据进行加密
    HTTP 无需证书,而 HTTPS 需要认证证书
    

    简而言之,在使用HTTPS连接时,服务器要求有公钥和签名的证书。当使用 https 连接,服务器响应初始连接,并提供它所支持的加密方法。作为回应,客户端选择一个连接方法,并且客户端和服务器端交换证书验证彼此身份。完成之后,在确保使用相同密钥的情况下传输加密信息,然后关闭连接。为了提供 https 连接支持,服务器必须有一个公钥证书,该证书包含经过证书机构认证的密钥信息,大部分证书都是通过第三方机构授权的,以保证证书是安全的。上文提到HTTPS = HTTP + SSL,那HTTP和SSL分别需要做的工作是这样的:

    HTTP 包含如下动作:

    浏览器打开一个 TCP 连接
    浏览器发送 HTTP 请求到服务器端
    服务器发送 HTTP 回应信息到浏览器
    TCP 连接关闭
    

    SSL 包含如下动作:

    验证服务器端
    允许客户端和服务器端选择加密算法和密码,确保双方都支持
    验证客户端(可选)
    使用公钥加密技术来生成共享加密数据
    创建一个加密的 SSL 连接
    基于该 SSL 连接传递 HTTP 请求
    

    nginx配置

    当然,前面的都是铺垫,本文的重点终于来了。就是如何生成SSL证书并配置nginx。这部分通常都是PE或者SA进行操作的,但是如果想在测试环境自己玩一玩的话,那么攻略来了。

    1. 生成证书

    可以通过以下步骤生成一个简单的证书:
    首先,进入你想创建证书和私钥的目录,例如:
    $ cd /home/appuser/nginx-1.4.7/conf
    创建服务器私钥,命令会让你输入一个口令:
    $ openssl genrsa -des3 -out cookie.key 1024
    创建签名请求的证书(CSR):
    $ openssl req -new -key cookie.key -out cookie.csr
    在加载SSL支持的Nginx并使用上述私钥时除去必须的口令:
    $ cp cookie.key cookie.key.org
    $ openssl rsa -in cookie.key.org -out cookie.key

    2. 配置nginx

    最后标记证书使用上述私钥和CSR:
    $ openssl x509 -req -days 365 -in cookie.csr -signkey cookie.key -out cookie.crt
    修改Nginx配置文件,让其包含新标记的证书和私钥:
    server {
        server_name YOUR_DOMAINNAME_HERE;
        listen 443;
        ssl on;
        ssl_certificate /usr/local/nginx/conf/server.crt;
        ssl_certificate_key /usr/local/nginx/conf/server.key;
    }
    重启nginx

    踩坑与过坑

    本来以为这样就可以万事大吉了,但是在压力提高以后,就会出现一些错误。去查看nginx的错误日志以及dmesg的报错如下:

    nginx报错:

    2016/12/26 19:37:48 [alert] 27592#0: worker process 27593 exited on signal 11
    2016/12/26 19:37:48 [alert] 27592#0: worker process 27596 exited on signal 11
    2016/12/26 19:37:49 [alert] 27592#0: worker process 27594 exited on signal 11
    

    dmesg报错:

    [51059663.024824] nginx[32061]: segfault at 0 ip 00000000004248db sp 00007fffffba9b70 error 4 in nginx[400000+92000]
    [51059668.968624] show_signal_msg: 54 callbacks suppressed
    [51059668.968628] nginx[32115]: segfault at 0 ip 00000000004248db sp 00007fffffba9b30 error 4 in nginx[400000+92000]
    [51059669.036477] nginx[32184]: segfault at 0 ip 00000000004248db sp 00007fffffba9b30 error 
    
    这种信息一般都是由内核内存访问越界造成的,不管是用户态程序还是内核态程序访问越界都会出core,并在系统日志里面输出一条这样的信息。这条信息的前面分别是访问越界的程序名,进程id号,访问越界的地址以及当时进程进程堆栈地址等信息,比较有用的信息是最后的error number.在上面的信息中。 error number是由3个字位组成的,从高到低分别是bit2、bit1、bit0,转成二进制就是100,即bit2=1,bit1=0,bit0=0,所以它的取值范围是0~7,每个字位的含义是:
    bit2:值为1时表示 是用户态程序内存访问越界,值为0时表示 是内核态程序内存访问越界
    bit1:值为1时表示 是写操作导致内存访问越界,值为0时表示 是读操作导致内存访问越界
    bit0:值为1表示没有足够的权限访问非法地址的内容,值为0时表示访问的非法地址根本没有对应的页面,也就是无效地址。
    因此error number 是4,就表示用户态程序nginx进行读操作时访问的地址无效。在查找了大量资料之后,从
    https://toontong.github.io/blog/nginx-gdb-coredump-segfault.html 这里找到了问题的所在原因。由于我们整站都是使用HTTPS,所以需要在nginx的ssl模块添加如下配置:
    ssl_session_cache   shared:SSL:1024m;
    ssl_session_timeout 10m;
    
    重启nginx,完美过坑。

    本文来自网易实践者社区,经作者齐红方授权发布。

  • 相关阅读:
    这些奇葩的排序算法,你没见过动画吧?
    五分钟学会一个高难度算法:希尔排序
    看完动画你还会不懂 快速排序么
    动画演示二叉树的前序遍历
    一款基于jQuery日历插件的开发过程
    图片全部加载完成之后再显示页面ui,公司项目里用上,自己写的几行代码
    转:SQL Server附加数据库提示“版本为661,无法打开,支持655版本……”
    Android基础-TextView(文本控件)
    Android基础-UI控件(整体简单介绍)
    Android基础-相对布局(电影页面为例)
  • 原文地址:https://www.cnblogs.com/telwanggs/p/15041443.html
Copyright © 2011-2022 走看看