活动

天翼云最新优惠活动,涵盖免费试用,产品折扣等,助您降本增效!
热门活动
免费活动
  • 活动
  • 产品
  • 解决方案
  • 应用商城
  • 合作伙伴
  • 开发者
  • 算力套餐
  • 支持与服务
  • 了解天翼云
searchusermenu
  • 发布文章
  • 消息中心
点赞
收藏
评论
分享
原创

nginx中同一端口不同tls版本与加密套件

中间件
2023-07-31 07:21:32
119
0

1.问题描述

需要在nginx中使用2个域名同时监听443端口,域名a只允许使用tls1.2,域名b允许tls1.2,tls1.3。 实际运行发现原生nginx无法实现

nginx.conf配置如下

worker_processes  1;
error_log  logs/error.log  debug;
events {
    worker_connections  1024;
}

http {
    include       mime.types;
    default_type  application/octet-stream;

    server {
        listen 443 ssl;
        server_name www.a.com;
        ssl_protocols       TLSv1.2;
        ssl_certificate         ssl/a.crt;
        ssl_certificate_key     ssl/a.key;
        location / {
            return 200 ok;
        }
    }

    server {
        listen 443 ssl;
        server_name www.b.com;
        ssl_protocols       TLSv1.2  TLSv1.3;
        ssl_certificate         ssl/b.crt;
        ssl_certificate_key     ssl/b.key;
        location / {
            return 200 ok;
        }
    }
}

 

1.使用tls1.2连接www.a.com可以实现  openssl s_client -connect 127.0.0.1:443  -servername www.a.com -tls1_2

2.使用tls1.2连接www.b.com可以实现  openssl s_client -connect 127.0.0.1:443  -servername www.b.com -tls1_2

3.使用tls1.3连接www.b.com不可以实现  openssl s_client -connect 127.0.0.1:443  -servername www.b.com -tls1_3

2.原理

tls握手原理中,在客户端发起的client_hello到服务端时,会告知服务端客户端支持的tls版本,加密套件。接着服务器响应serve_hello告知客户端,服务器选择的serve_hello。所以tls版本在握手的client_hello和serve_hello阶段必须协商完成,

然而原生的nginx并没有介入openssl的client_hello的阶段,即openssl在握手过程中会使用nginx的默认default server (默认第一个server块) 的ssl_protocols 指令配置。

所以要根据不同的sni制定不同的tls版本就需要在openssl提供的client_hello阶段中根据不同的sni判断是否使用不同的tls协议版本。

 

 

3.第三方模块

使用github上模块 https://github.com/zengjinji/ngx_http_ssl_client_hello_module

修改nginx.conf配置,新增ssl_client_hello on;指令

worker_processes  1;
error_log  logs/error.log  debug;
events {
    worker_connections  1024;
}

http {
    include       mime.types;
    default_type  application/octet-stream;

    #第三方模块新增指令
    ssl_client_hello on;

    server {
        listen 443 ssl;
        server_name www.a.com;
        ssl_protocols       TLSv1.2;
        ssl_certificate         ssl/a.crt;
        ssl_certificate_key     ssl/a.key;
        location / {
            return 200 ok;
        }
    }

    server {
        listen 443 ssl;
        server_name www.b.com;
        ssl_protocols       TLSv1.2  TLSv1.3;
        ssl_certificate         ssl/b.crt;
        ssl_certificate_key     ssl/b.key;
        location / {
            return 200 ok;
        }
    }
}

 

再次尝试用tls1.3连接www.b.com可以实现  openssl s_client -connect 127.0.0.1:443  -servername www.b.com -tls1_3

 

使用tls1.2连接www.b.com可以实现  openssl s_client -connect 127.0.0.1:443  -servername www.b.com -tls1_2

使用tls1.3连接www.a.com不可以实现  openssl s_client -connect 127.0.0.1:443  -servername www.a.com -tls1_3

使用tls1.2连接www.a.com可以实现  openssl s_client -connect 127.0.0.1:443  -servername www.a.com -tls1_2

 

此外,也可以使用openresty的1.21.4.1版本,1.21.4.1版本增加了ssl_client_hello_by_lua_block ,原理一样也是在openssl的client_hello阶段中根据不同的sni区分使用不同的协议

 

版权声明:本文内容系天翼云实名用户自发贡献,版权归原作者所有,天翼云开发者社区不拥有其著作权,亦不承担相应法律责任,未经许可,不得转载。

如有疑问或争议,请联系ctyunbbs@chinatelecom.cn删除。

0条评论
作者已关闭评论
z****n
4文章数
0粉丝数
z****n
4 文章 | 0 粉丝
Ta的热门文章查看更多
nginx中同一端口不同tls版本与加密套件nginx解决进程内存占用翻倍docker stats不统计共享内存?gdb命令卡主
z****n
4文章数
0粉丝数
z****n
4 文章 | 0 粉丝
原创

nginx中同一端口不同tls版本与加密套件

中间件
2023-07-31 07:21:32
119
0

1.问题描述

需要在nginx中使用2个域名同时监听443端口,域名a只允许使用tls1.2,域名b允许tls1.2,tls1.3。 实际运行发现原生nginx无法实现

nginx.conf配置如下

worker_processes  1;
error_log  logs/error.log  debug;
events {
    worker_connections  1024;
}

http {
    include       mime.types;
    default_type  application/octet-stream;

    server {
        listen 443 ssl;
        server_name www.a.com;
        ssl_protocols       TLSv1.2;
        ssl_certificate         ssl/a.crt;
        ssl_certificate_key     ssl/a.key;
        location / {
            return 200 ok;
        }
    }

    server {
        listen 443 ssl;
        server_name www.b.com;
        ssl_protocols       TLSv1.2  TLSv1.3;
        ssl_certificate         ssl/b.crt;
        ssl_certificate_key     ssl/b.key;
        location / {
            return 200 ok;
        }
    }
}

 

1.使用tls1.2连接www.a.com可以实现  openssl s_client -connect 127.0.0.1:443  -servername www.a.com -tls1_2

2.使用tls1.2连接www.b.com可以实现  openssl s_client -connect 127.0.0.1:443  -servername www.b.com -tls1_2

3.使用tls1.3连接www.b.com不可以实现  openssl s_client -connect 127.0.0.1:443  -servername www.b.com -tls1_3

2.原理

tls握手原理中,在客户端发起的client_hello到服务端时,会告知服务端客户端支持的tls版本,加密套件。接着服务器响应serve_hello告知客户端,服务器选择的serve_hello。所以tls版本在握手的client_hello和serve_hello阶段必须协商完成,

然而原生的nginx并没有介入openssl的client_hello的阶段,即openssl在握手过程中会使用nginx的默认default server (默认第一个server块) 的ssl_protocols 指令配置。

所以要根据不同的sni制定不同的tls版本就需要在openssl提供的client_hello阶段中根据不同的sni判断是否使用不同的tls协议版本。

 

 

3.第三方模块

使用github上模块 https://github.com/zengjinji/ngx_http_ssl_client_hello_module

修改nginx.conf配置,新增ssl_client_hello on;指令

worker_processes  1;
error_log  logs/error.log  debug;
events {
    worker_connections  1024;
}

http {
    include       mime.types;
    default_type  application/octet-stream;

    #第三方模块新增指令
    ssl_client_hello on;

    server {
        listen 443 ssl;
        server_name www.a.com;
        ssl_protocols       TLSv1.2;
        ssl_certificate         ssl/a.crt;
        ssl_certificate_key     ssl/a.key;
        location / {
            return 200 ok;
        }
    }

    server {
        listen 443 ssl;
        server_name www.b.com;
        ssl_protocols       TLSv1.2  TLSv1.3;
        ssl_certificate         ssl/b.crt;
        ssl_certificate_key     ssl/b.key;
        location / {
            return 200 ok;
        }
    }
}

 

再次尝试用tls1.3连接www.b.com可以实现  openssl s_client -connect 127.0.0.1:443  -servername www.b.com -tls1_3

 

使用tls1.2连接www.b.com可以实现  openssl s_client -connect 127.0.0.1:443  -servername www.b.com -tls1_2

使用tls1.3连接www.a.com不可以实现  openssl s_client -connect 127.0.0.1:443  -servername www.a.com -tls1_3

使用tls1.2连接www.a.com可以实现  openssl s_client -connect 127.0.0.1:443  -servername www.a.com -tls1_2

 

此外,也可以使用openresty的1.21.4.1版本,1.21.4.1版本增加了ssl_client_hello_by_lua_block ,原理一样也是在openssl的client_hello阶段中根据不同的sni区分使用不同的协议

 

版权声明:本文内容系天翼云实名用户自发贡献,版权归原作者所有,天翼云开发者社区不拥有其著作权,亦不承担相应法律责任,未经许可,不得转载。

如有疑问或争议,请联系ctyunbbs@chinatelecom.cn删除。

文章来自个人专栏
zengjj的专栏
4 文章 | 1 订阅
0条评论
作者已关闭评论
作者已关闭评论
0
0
售前咨询热线
400-810-9889转1
关注天翼云
  • 天翼云微信公众号
  • APP
    天翼云APP
服务与支持
账户管理
快速入口
云网生态
了解天翼云
热门产品
热门推荐
更多推荐
友情链接
©2024 天翼云科技有限公司版权所有 增值电信业务经营许可证A2.B1.B2-20090001
公司地址:北京市东城区青龙胡同甲1号、3号2幢2层205-32室
备案京公网安备11010802043424号京ICP备 2021034386号