Nginx配置ssl模块踩坑与过坑案例

前景提要

目前越来越多的产品开始采用HTTPS,而采用HTTPS就需要SSL证书,所以需要在nginx中使用ssl模块配置HTTPS的支持。本文就是nginx配置ssl模块中一个踩坑与过坑的案例。

HTTPS科普:

首先来科普下什么是HTTPS?HTTPS (基于安全套接字层的超文本传输协议 或者是 HTTP over SSL) 是一个 Netscape 开发的 Web 协议。可以这么认为:HTTPS = HTTP + SSL。

超文本传输协议 (HTTP) 是一个用来通过互联网传输和接收信息的协议。HTTP 使用请求/响应的过程,因此信息可在服务器间快速、轻松而且精确的进行传输,当我们在访问web页面时,采用的是不安全的HTTP协议。所以Netscape推出了HTTPS,也就是基于安全套接字层的 HTTP 协议

 

大多数情况下,HTTP 和 HTTPS 是相同的,因为都是采用同一个基础的协议,作为 HTTP 或 HTTPS 客户端——浏览器,设立一个连接到 Web 服务器指定的端口。当服务器接收到请求,它会返回一个状态码以及消息,这个回应可能是请求信息、或者指示某个错误发送的错误信息。系统使用统一资源定位器 URI 模式,因此资源可以被唯一指定。而 HTTPS 和 HTTP 唯一不同的只是一个协议头(https)的说明,其他都是一样的。下文列举一下HTTP 和 HTTPS 的不同之处:

HTTP 的 URL 以 http:// 开头,而 HTTPS 的 URL 以 https:// 开头
HTTP 是不安全的,而 HTTPS 是安全的
HTTP 标准端口是 80 ,而 HTTPS 的标准端口是 443
在 OSI 网络模型中,HTTP 工作于应用层,而 HTTPS 工作在传输层
HTTP 无需加密,而 HTTPS 对传输的数据进行加密
HTTP 无需证书,而 HTTPS 需要认证证书

简而言之,在使用HTTPS连接时,服务器要求有公钥和签名的证书。当使用 https 连接,服务器响应初始连接,并提供它所支持的加密方法。作为回应,客户端选择一个连接方法,并且客户端和服务器端交换证书验证彼此身份。完成之后,在确保使用相同密钥的情况下传输加密信息,然后关闭连接。为了提供 https 连接支持,服务器必须有一个公钥证书,该证书包含经过证书机构认证的密钥信息,大部分证书都是通过第三方机构授权的,以保证证书是安全的。上文提到HTTPS = HTTP + SSL,那HTTP和SSL分别需要做的工作是这样的:

HTTP 包含如下动作:

浏览器打开一个 TCP 连接
浏览器发送 HTTP 请求到服务器端
服务器发送 HTTP 回应信息到浏览器
TCP 连接关闭

SSL 包含如下动作:

验证服务器端
允许客户端和服务器端选择加密算法和密码,确保双方都支持
验证客户端(可选)
使用公钥加密技术来生成共享加密数据
创建一个加密的 SSL 连接
基于该 SSL 连接传递 HTTP 请求

nginx配置

当然,前面的都是铺垫,本文的重点终于来了。就是如何生成SSL证书并配置nginx。这部分通常都是PE或者SA进行操作的,但是如果想在测试环境自己玩一玩的话,那么攻略来了。

1. 生成证书

可以通过以下步骤生成一个简单的证书:
首先,进入你想创建证书和私钥的目录,例如:
$ cd /home/appuser/nginx-1.4.7/conf
创建服务器私钥,命令会让你输入一个口令:
$ openssl genrsa -des3 -out cookie.key 1024
创建签名请求的证书(CSR):
$ openssl req -new -key cookie.key -out cookie.csr
在加载SSL支持的Nginx并使用上述私钥时除去必须的口令:
$ cp cookie.key cookie.key.org
$ openssl rsa -in cookie.key.org -out cookie.key

2. 配置nginx

最后标记证书使用上述私钥和CSR:
$ openssl x509 -req -days 365 -in cookie.csr -signkey cookie.key -out cookie.crt
修改Nginx配置文件,让其包含新标记的证书和私钥:
server {
    server_name YOUR_DOMAINNAME_HERE;
    listen 443;
    ssl on;
    ssl_certificate /usr/local/nginx/conf/server.crt;
    ssl_certificate_key /usr/local/nginx/conf/server.key;
}
重启nginx

踩坑与过坑

本来以为这样就可以万事大吉了,但是在压力提高以后,就会出现一些错误。去查看nginx的错误日志以及dmesg的报错如下:

nginx报错:

2016/12/26 19:37:48 [alert] 27592#0: worker process 27593 exited on signal 11
2016/12/26 19:37:48 [alert] 27592#0: worker process 27596 exited on signal 11
2016/12/26 19:37:49 [alert] 27592#0: worker process 27594 exited on signal 11

dmesg报错:

[51059663.024824] nginx[32061]: segfault at 0 ip 00000000004248db sp 00007fffffba9b70 error 4 in nginx[400000+92000]
[51059668.968624] show_signal_msg: 54 callbacks suppressed
[51059668.968628] nginx[32115]: segfault at 0 ip 00000000004248db sp 00007fffffba9b30 error 4 in nginx[400000+92000]
[51059669.036477] nginx[32184]: segfault at 0 ip 00000000004248db sp 00007fffffba9b30 error 
这种信息一般都是由内核内存访问越界造成的,不管是用户态程序还是内核态程序访问越界都会出core,并在系统日志里面输出一条这样的信息。这条信息的前面分别是访问越界的程序名,进程id号,访问越界的地址以及当时进程进程堆栈地址等信息,比较有用的信息是最后的error number.在上面的信息中。 error number是由3个字位组成的,从高到低分别是bit2、bit1、bit0,转成二进制就是100,即bit2=1,bit1=0,bit0=0,所以它的取值范围是0~7,每个字位的含义是:
bit2:值为1时表示 是用户态程序内存访问越界,值为0时表示 是内核态程序内存访问越界
bit1:值为1时表示 是写操作导致内存访问越界,值为0时表示 是读操作导致内存访问越界
bit0:值为1表示没有足够的权限访问非法地址的内容,值为0时表示访问的非法地址根本没有对应的页面,也就是无效地址。
因此error number 是4,就表示用户态程序nginx进行读操作时访问的地址无效。在查找了大量资料之后,从
https://toontong.github.io/blog/nginx-gdb-coredump-segfault.html 这里找到了问题的所在原因。由于我们整站都是使用HTTPS,所以需要在nginx的ssl模块添加如下配置:
ssl_session_cache   shared:SSL:1024m;
ssl_session_timeout 10m;
重启nginx,完美过坑。

 

本文来自网易实践者社区,经作者齐红方授权发布。

Nginx配置ssl模块踩坑与过坑案例

上一篇:使用xtrabackup实现MySQL主从复制


下一篇:linux 添加用户、权限