使用ssl_certificate_by_lua指令动态加载证书

1、下载 OpenResty - 下载

根据自己系统选择下载,我的是64位

2、解压到目录

3、启动openresty

进入解压后的目录,执行nginx.exe

浏览器输入 http://localhost 查看是否正常。显示以下画面就表示没有问题。

接下来可以开始准备动态安装证书

4、使用openssl-win64生成测试证书(待补充)

openssl 下载地址。 也可以使用csdn下载​​​​​​​

5、进入conf目录,编辑nginx.conf

bash 复制代码
#增加ssl server配置
	server {
        listen       443 ssl;
        server_name  localhost;

        ssl_certificate      cert/server.crt;
        ssl_certificate_key  cert/server.key;
		ssl_certificate_by_lua_file conf\cert\ssl.lua;


        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        location / {

			root   html;
            index  index.html index.htm;
        }
    }

6、编写ssl.lua , 放到conf/cert下

Lua 复制代码
local ssl = require "ngx.ssl"
 
-- 清除之前设置的证书和私钥
local ok, err = ssl.clear_certs()
if not ok then
    ngx.log(ngx.ERR, "failed to clear existing (fallback) certificates")
    return ngx.exit(ngx.ERROR)
end
 
-- 获取证书内容,比如 io.open("my.crt"):read("*a")
local cert_data, err
cert_data = io.open("conf\\cert\\localhost.crt"):read("*a")
if not cert_data then
    ngx.log(ngx.ERR, "failed to get PEM cert: ", err)
    return
end
 
-- 解析出 cdata 类型的证书值,你可以用 lua-resty-lrucache 缓存解析结果
local cert, err = ssl.parse_pem_cert(cert_data)
if not cert then
    ngx.log(ngx.ERR, "failed to parse PEM cert: ", err)
    return
end
 
local ok, err = ssl.set_cert(cert)
if not ok then
    ngx.log(ngx.ERR, "failed to set cert: ", err)
    return
end
 
local pkey_data, err
pkey_data = io.open("conf\\cert\\localhost.key"):read("*a")
if not pkey_data then
    ngx.log(ngx.ERR, "failed to get DER private key: ", err)
    return
end
 
local pkey, err = ssl.parse_pem_priv_key(pkey_data)
if not pkey then
    ngx.log(ngx.ERR, "failed to parse pem key: ", err)
    return
end
 
local ok, err = ssl.set_priv_key(pkey)
if not ok then
    ngx.log(ngx.ERR, "failed to set private key: ", err)
    return
end
相关推荐
Aileen_0v016 分钟前
【AI驱动的数据结构:包装类的艺术与科学】
linux·数据结构·人工智能·笔记·网络协议·tcp/ip·whisper
中科岩创1 小时前
中科岩创边坡自动化监测解决方案
大数据·网络·物联网
花鱼白羊1 小时前
TCP Vegas拥塞控制算法——baseRtt 和 minRtt的区别
服务器·网络协议·tcp/ip
brrdg_sefg3 小时前
WEB 漏洞 - 文件包含漏洞深度解析
前端·网络·安全
Quz7 小时前
Wireshark协议相关功能:过滤、启用/禁用、导出和统计查看
网络·测试工具·wireshark
安全方案7 小时前
如何增强网络安全意识?(附培训PPT资料)
网络·安全·web安全
tjjingpan8 小时前
HCIA-Access V2.5_6_3_GPON关键技术
网络
yuanbenshidiaos8 小时前
数据结构----链表头插中插尾插
网络·数据结构·链表
洛神灬殇8 小时前
彻底认识和理解探索分布式网络编程中的SSL安全通信机制
网络·分布式·ssl