OpenResty之ngx.ssl

翻译自： ngx.ssl - Lua API for controlling NGINX downstream SSL handshakes

1. 概要

# 注意：如果你使用的是 OpenResty 1.9.7.2+，则不需要该行
lua_package_path "/path/to/lua-resty-core/lib/?.lua;;";

server {
    listen 443 ssl;
    server_name test.com;

    # useless placeholders: just to shut up NGINX configuration
    # loder errors:
    ssl_certificate /path/to/fallback.crt;
    ssl_certificate_key /path/to/fallback.key;

    ssl_certificate_by_lua_block {
        local ssl = require "ngx.ssl"

        -- clear the fallback certificates and private keys
        -- set by the ssl_certificate and ssl_certificate_key
        -- directives above:
        local ok, err = ssl.clear_certs()
        if not ok then
            ngx.log(ngx.ERR, "failed to clear existing (fallback) certificates")
            return ngx.exit(ngx.ERROR)
        end

        -- assuming the user already the my_load_certificate_chain()
        -- herself.
        local pem_cert_chain = assert(my_load_certifiate_chain())

        local der_cert_chain, err = ssl.cert_pem_to_der(pem_cert_chain)
        if not der_cert_chain then
            ngx.log(ngx.ERR, "failed to convert certificate chain ",
                    "from PEM to DER: ", err)
            return ngx.exit(ngx.ERROR)
        end

        local ok, err = ssl.set_der_cert(der_cert_chain)
        if not ok then
            ngx.log(ngx.ERR, "failed to set DER cert: ", err)
            return ngx.exit(ngx.ERROR)
        end

        -- assuming the user already defined the my_load_private_key()
        -- function herself.
        local pem_pkey = assert(my_load_private_key())

        local der_pkey, err = ssl.priv_key_pem_to_der(pem_pkey)
        if not der_pkey then
            ngx.log(ngx.ERR, "failed to convert private key ",
                    "from PEM to DER: ", err)
            return ngx.exit(ngx.ERROR)
        end

        local ok, err = ssl.ser_der_priv_key(der_pkey)
        if not ok then
            ngx.log(ngx.ERR, "failed to set DER private key: ", err)
            return ngx.exit(ngx.ERROR)
        end
    }

    location / {
        root html;
    }
}

2. 描述

该 Lua 模块提供 API 函数来控制类似 ssl_certificate_by_lua*（ngx_lua 模块） 等上下文的 SSL 握手过程。

OpenSSL 允许我们动态地设置证书和私钥，因此期望可以在建立连接前才设置证书和私钥，这样，可以结合 SNI，针对不同的请求域名动态设置不同的证书和私钥，而无需事先把可能用到的证书和私钥都准备好。该 lua 模块提供的 API 以在 ssl_certificate_by_lua* 指令的上下文中支持此种情况。

在 Lua 中加载 ngx.ssl 模块，因如下：

local ssl = require "ngx.ssl"

3. 方法

3.1 clear_certs

语法：ok, err = ssl.clear_certs()
上下文：ssl_certificate_by_lua*

• 清除在当前 SSL 连接中设置的任何已经存在的 SSL 证书和私钥。
• 成功返回 true，失败返回一个 nil 值并且通过字符串描述错误。

3.2 cert_pem_to_der

语法：der_cert_chain, err = ssl.cert_pem_to_der(pem_cert_chain)
上下文：任意

• 将 PEM 格式的 SSL 证书链数据转换为 DER 格式（转换后的 der 格式数据将用于 set_der_cert 函数）。
• 失败，则返回 nil 值，并且通过字符串描述错误。
• openssl 命令行工具可能无法正确将 SSL 证书链从 PEM 格式转换为 DER，因此总是使用该 Lua 函数进行转换。你可以总是使用类似 lua-resty-lrucache 或者 ngx_lua API（如 lua_shared_dict）等库来缓存 DER 格式的结果。
• 该函数可以在任何上下文中使用。

3.3 set_der_cert

语法：ok, err = ssl.set_der_cert(der_cert_chain)
上下文：ssl_certificate_by_lua*

• 为当前的 SSL 连接设置 DER 格式的 SSL 证书链数据。注意，该 DER 数据是直接保存在 Lua 字符串参数中的。不需要外部文件支持。
• 若成功返回 true，否则返回 nil 并且通过字符串描述错误。
• 注意，SSL 证书链通常以 PEM 格式编码，因此首先需要使用 cert_perm_to_der 函数进行转换。

3.4 priv_key_pem_to_der

语法：der_priv_key, err = ssl.priv_key_perm_to_der(perm_priv_key)
上下文：任意

• 将 PEM 格式的 SSL 私钥数据转换为 DER 格式（用于 set_der_priv_key 函数）。
• 失败，返回 nil 并通过字符串描述错误。
• 可选地，你可以使用 openssl 命令行工具脱机下执行 PEM 转换为 DER，如下：

openssl rsa -in key.pem -outform DER -out key.der

• 该函数可以在任意上下文中调用。

3.5 set_der_priv_key

语法：ok, err = ssl.set_der_priv_key(der_priv_key)
上下文：ssl_certificate_by_lua*

• 为当前 SSL 连接设置 DER 格式的私钥。
• 成功返回 true，失败返回 nil 并通过字符串描述错误。
• 通常，私钥是以 PEM 格式编码的。可以使用 priv_key_perm_to_der 函数或者使用 openssl 命令行工具脱机将 PEM 转换为 DER，如下：

openssl rsa -in key.pem -outform DER -out key.der

3.6 server_name

语法：name, err = ssl.server_name()
上下文：任意

• 返回由客户端设置的 TLS SNI（Server Name Indication） 名。若客户端没有设置则返回 nil。
• 失败，返回 nil 并通过字符串描述错误。
• 通常我们使用 SNI 名作为域名（如 www.openresty.org）来标识当前的 web 站点，同时为当该网站加载相应的 SSL 证书链和私钥。
• 注意，并不是所有的 https 客户端都设置 SNI 名，因此当从客户端握手请求中缺失 SNI 名时，我们可以使用客户端访问的服务器 IP 地址来标识该网站。有关更多详细信息，参阅 raw_server_addr 方法。
• 可以在下游 https 的任何上下文中调用该函数。

3.7 raw_server_addr

语法：addr_data, addr_type, err = ssl.raw_server_addr()
上下文：任意

• 返回当前 SSL 连接中客户端实际访问的原始服务器地址。
• 前两个返回值分别表示地址数据和地址类型的字符串，根据地址类型值对地址值进行不同的解释：
  • unix: 地址数据是 UNIX 域套接字的文件路径。
  • inet：地址数据是 4 字节长的二进制 IPv4 地址。
  • inet6：地址数据时 16 字节长的二进制 IPv6 地址。
• 失败返回 nil，并通过字符串描述错误。
• 以下代码显示如何将 UNIX 域套接字和 IPv4 地址打印为人类可读的字符串：

local ssl = require "ngx.ssl"
local byte = string.byte

local addr, addrtyp, err = ssl.raw_server_addr()
if not addr then
    ngx.log(ngx.ERR, "failed to fetch raw server addr: ", err)
    return
end

if addrtyp == "inet" then  -- IPv4
    ip = string.format("%d.%d.%d.%d", byte(addr, 1), byte(addr, 2),
                       byte(addr, 3), byte(addr, 4))
    print("Using IPv4 address: ", ip)

elseif addrtyp == "unix" then  -- UNIX
    print("Using unix socket file ", addr)

else  -- IPv6
    -- leave as an exercise for the readers
end

• 可以在下游 https 的任何上下文中调用该函数。

3.8 raw_client_addr

语法：addr_data, addr_type, err = ssl.raw_client_addr()
上下文：任意