Category Archives

11 Articles

lua-resty-openssl: 基于FFI的Lua OpenSSL库

0   8138 转为繁体

支持OpenSSL 1.1.x, 1.0.x和1.0.2系列

lua-resty-acme: ACMEv2客户端和Let’s Encrypt证书的自动化管理

0   13307 转为繁体

 

 

安装

使用opm:

opm中没有luaossl库,所以这种安装使用的是基于FFI的Openssl后端;需要OpenResty链接了大于等于1.1版本的OpenSSL。

也可以使用luarocks安装:

使用

以/etc/openresty目录为例,如果目录不存在,请自行修改。

生成一个账户密钥

生成一个默认证书

在Nginx配置的http 节插入以下内容

首次配置时,建议将init_by_lua_block中的staing = true取消注释,以防错误过多触发限流;测试通过后再加回注释使用生产API。

在需要使用证书的server节插入

CentOS/Fedora等系统的根证书在/etc/ssl/certs/ca-bundle.crt,请根据实际情况修改lua_ssl_trusted_certificate。

保存后,reload nginx。

在一般情况下,domain_whitelist必须配置,以防止恶意请求通过伪造SNI头进行拒绝服务攻击。

如果要匹配一系列域名,可以使用__index来实现。比如下面的例子仅匹配example.com的子域名:

RSA+ECC双证书

将init_by_lua_block中的domain_key_types = { 'rsa', 'ecc' }取消注释后,即可同时申请两套证书。

为了让申请到证书前的握手不出错断开,给Nginx配置默认的ECC证书

然后在server节中原有的ssl_certificate下增加两行

关于加密套件等的选择可借助搜索引擎。

TLS-ALPN-01

0.5.0开始支持tls-alpn-01,可以支持在只开放443端口的环境里完成验证。方法是通过蜜汁FFI偏移找到当前请求的SSL结构,然后设置了新的ALPN。需要多个stream server多次proxy,拓扑结构如下:

第一个stream server打开了443端口,根据请求的ALPN分发到不同的后段;如果是acme-tls则转发到我们的库,否则转发到正常的https。

示例配置见Github

lua-resty-multiplexer: 端口服务复用

0   11548 转为繁体

实现了一个端口服务复用的透明代理,可以在同一个端口上运行多个协议。根据每次连接中客户端发起的首个请求检测协议,根据协议或各种条件选择代理的上游。

需要打一个补丁。由@fcicq这个讨论中贡献。这个补丁实现了BSD的socket recv()语义。目前官方也有这个feature的PR

示例配置:

示例中服务监听在80端口,并定义规则:

  • 如果客户端来自 10.0.0.1,代理到 internal-host.com:80
  • 如果请求协议是HTTP 而且客户端来自10.0.0.2,代理到 internal-host:8001
  • 如果请求协议是 SSH,代理到 github.com:22
  • 如果请求协议是 DNS,代理到 1.1.1.1:53
  • 如果请求协议是 SSL/TLS 而且现在的时间是 0 到 30分,代理到 twitter.com:443
  • 如果请求协议是 SSL/TLS 而且现在的时间是 31 到 59分,代理到  www.google.com:443
  • 以上均不满足,代理到 127.0.0.1:80

说明

  • 只能实现识别连接建立后客户端先发送请求的协议,不兼容服务端先发送响应的协议(比如FTP,SMTP等)
  • 如果实现了ngx.reqsock.peak(),则可以使用ngx_stream_proxy来转发流量,这样的话除了首个请求以外同一连接的后续请求将没有额外的性能损失;目前只能在Lua层转发。

Read More

使用Redis协议来调试ngx.shared

0   9973 转为繁体

有时候用ngx.shared的时候想看一下到底存进去的值是什么,或者想列一下满足条件的键,或者想批量操作,所以这个项目就是用来解决这个问题的。

除了支持ngx.shared提供的操作以外,学习Redis增加了PING(测试连通性),KEYS(列出符合条件的键)和EVAL(在服务器上执行Lua脚本)。

已上传到opm,可以通过

opm install fffonion/lua-resty-shdict-server

一键安装。

由于目前stream和http子系统是两个独立的Lua VM,因此不能通过全局变量来共享数据。另外两个子系统的shdict是分别定义的,因此也不能互撸。所以如果想用这个模块来在redis-cli里撸http子系统下定义的shdict,需要这个补丁

示例配置:

然后

 

使用lua-nginx-module缓存JSONP

0   12014 转为繁体

最近给畅言加上了单点登录,也就是可以用网站的帐号来在畅言上发射评论。畅言会通过你设置的一个接口来获得用户名,头像等。但是我发现队友畅言会频繁请求这个接口,有时候会达到单个用户一秒钟好几次??

虽然在php层有redis,压力不会很大,但是这样频繁的请求还是会中防CC的策略,影响用户正常的浏览。所以我决定在CDN上做个缓存。

Read More