Category Archives

安裝

使用opm：

opm中沒有luaossl庫，所以這種安裝使用的是基於FFI的Openssl後端；需要OpenResty鏈接了大於等於1.1版本的OpenSSL。

也可以使用luarocks安裝：

使用

以/etc/openresty目錄為例，如果目錄不存在，請自行修改。

生成一個賬戶密鑰

生成一個默認證書

在Nginx配置的http 節插入以下內容

首次配置時，建議將init_by_lua_block中的staing = true取消注釋，以防錯誤過多觸發限流；測試通過後再加回注釋使用生產API。

在需要使用證書的server節插入

CentOS/Fedora等系統的根證書在/etc/ssl/certs/ca-bundle.crt，請根據實際情況修改lua_ssl_trusted_certificate。

保存後，reload nginx。

在一般情況下，domain_whitelist必須配置，以防止惡意請求通過偽造SNI頭進行拒絕服務攻擊。

如果要匹配一系列域名，可以使用__index來實現。比如下面的例子僅匹配example.com的子域名：

RSA+ECC雙證書

將init_by_lua_block中的domain_key_types = { 'rsa', 'ecc' }取消注釋後，即可同時申請兩套證書。

為了讓申請到證書前的握手不出錯斷開，給Nginx配置默認的ECC證書

然後在server節中原有的ssl_certificate下增加兩行

關於加密套件等的選擇可藉助搜索引擎。

TLS-ALPN-01

0.5.0開始支持tls-alpn-01，可以支持在只開放443埠的環境里完成驗證。方法是通過蜜汁FFI偏移找到當前請求的SSL結構，然後設置了新的ALPN。需要多個stream server多次proxy，拓撲結構如下：

第一個stream server打開了443埠，根據請求的ALPN分發到不同的後段；如果是acme-tls則轉發到我們的庫，否則轉發到正常的https。

示例配置見Github。