模块 ngx_stream_ssl_module

Example Configuration
Directives
     ssl_alpn
     ssl_certificate
     ssl_certificate_key
     ssl_ciphers
     ssl_client_certificate
     ssl_conf_command
     ssl_crl
     ssl_dhparam
     ssl_ecdh_curve
     ssl_handshake_timeout
     ssl_password_file
     ssl_prefer_server_ciphers
     ssl_protocols
     ssl_session_cache
     ssl_session_ticket_key
     ssl_session_tickets
     ssl_session_timeout
     ssl_trusted_certificate
     ssl_verify_client
     ssl_verify_depth
Embedded Variables

该ngx_stream_ssl_module模块 (1.9.0) 为流代理服务器使用 SSL/TLS 协议提供必要的支持。该模块不是默认构建的，需要通过 --with-stream_ssl_module 配置参数启用。

配置示例

为了减少处理器负载，建议

将工作进程的数量设置为等于处理器的数量，
启用共享会话缓存，
禁用内置会话缓存，
并可能增加会话生命周期（默认为 5 分钟）：

worker_processes auto;

stream {

    ...

    server {
        listen              12345 ssl;

        ssl_protocols       TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
        ssl_ciphers         AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5;
        ssl_certificate     /usr/local/nginx/conf/cert.pem;
        ssl_certificate_key /usr/local/nginx/conf/cert.key;
        ssl_session_cache   shared:SSL:10m;
        ssl_session_timeout 10m;

        ...
    }

指令

句法：	`ssl_alpn protocol ...;`
默认：	—
语境：	`stream`,`server`

该指令出现在版本 1.21.4 中。

指定支持的ALPN协议列表。如果客户端使用 ALPN，则必须协商其中一种协议：

map $ssl_alpn_protocol $proxy {
    h2                127.0.0.1:8001;
    http/1.1          127.0.0.1:8002;
}

server {
    listen      12346;
    proxy_pass  $proxy;
    ssl_alpn    h2 http/1.1;
}

句法：	`ssl_certificate file;`
默认：	—
语境：	`stream`,`server`

file为给定服务器指定PEM 格式的证书。如果除了主证书之外还应指定中间证书，则应按以下顺序在同一文件中指定它们：首先是主证书，然后是中间证书。PEM 格式的密钥可以放置在同一文件中。

从1.11.0版本开始，可以多次指定该指令来加载不同类型的证书，例如RSA和ECDSA：

server {
    listen              12345 ssl;

    ssl_certificate     example.com.rsa.crt;
    ssl_certificate_key example.com.rsa.key;

    ssl_certificate     example.com.ecdsa.crt;
    ssl_certificate_key example.com.ecdsa.key;

    ...
}

仅 OpenSSL 1.0.2 或更高版本支持不同证书的单独证书链。对于旧版本，只能使用一个证书链。

file从版本 1.15.9 开始，使用 OpenSSL 1.0.2 或更高版本时可以在名称中使用变量：

ssl_certificate     $ssl_server_name.crt;
ssl_certificate_key $ssl_server_name.key;

请注意，使用变量意味着每次 SSL 握手都会加载证书，这可能会对性能产生负面影响。

可以指定值 data:$variable 来代替file(1.15.10)，后者从变量加载证书而不使用中间文件。请注意，不当使用此语法可能会产生安全隐患，例如将密钥数据写入错误日志。

句法：	`ssl_certificate_key file;`
默认：	—
语境：	`stream`,`server`

指定file给定服务器的 PEM 格式的密钥。

可以指定值 engine:: 来代替，它name会从 OpenSSL 引擎中加载指定的密钥。 idfileidname

可以指定值 data:$variable 来代替file(1.15.10)，后者从变量加载密钥而不使用中间文件。请注意，不当使用此语法可能会产生安全隐患，例如将密钥数据写入错误日志。

file从版本 1.15.9 开始，使用 OpenSSL 1.0.2 或更高版本时可以在名称中使用变量。

句法：	`ssl_ciphers ciphers;`
默认：	ssl_ciphers HIGH:!aNULL:!MD5;
语境：	`stream`,`server`

指定启用的密码。密码以 OpenSSL 库可以理解的格式指定，例如：

ssl_ciphers ALL:!aNULL:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;

可以使用“ ”命令查看完整列表openssl ciphers。

句法：	`ssl_client_certificate file;`
默认：	—
语境：	`stream`,`server`

该指令出现在版本 1.11.8 中。

指定file具有 PEM 格式的可信 CA 证书，用于验证客户端证书。

证书列表将发送给客户。如果不需要，可以使用 ssl_trusted_certificate指令。

句法：	`ssl_conf_command name value;`
默认：	—
语境：	`stream`,`server`

该指令出现在版本 1.19.4 中。

设置任意 OpenSSL 配置命令。

使用 OpenSSL 1.0.2 或更高版本时支持该指令。

ssl_conf_command可以在同一级别上指定多个指令：

ssl_conf_command Options PrioritizeChaCha;
ssl_conf_command Ciphersuites TLS_CHACHA20_POLY1305_SHA256;

当且仅当当前级别上没有ssl_conf_command定义任何指令时，这些指令才会从先前的配置级别继承。

请注意，直接配置 OpenSSL 可能会导致意外行为。

句法：	`ssl_crl file;`
默认：	—
语境：	`stream`,`server`

该指令出现在版本 1.11.8 中。

指定filePEM 格式的已撤销证书 (CRL)，用于验证客户端证书。

句法：	`ssl_dhparam file;`
默认：	—
语境：	`stream`,`server`

指定fileDHE 密码的 DH 参数。

默认情况下未设置任何参数，因此不会使用 DHE 密码。

在 1.11.0 版本之前，默认使用内置参数。

句法：	`ssl_ecdh_curve curve;`
默认：	ssl_ecdh_curve auto;
语境：	`stream`,`server`

curve为 ECDHE 密码指定 a 。

使用 OpenSSL 1.0.2 或更高版本时，可以指定多条曲线 (1.11.0)，例如：

ssl_ecdh_curve prime256v1:secp384r1;

特殊值auto(1.11.0) 指示 nginx 在使用 OpenSSL 1.0.2 或更高版本或旧版本时使用 OpenSSL 库内置的列表prime256v1。

在 1.11.0 版本之前，prime256v1默认使用曲线。

当使用 OpenSSL 1.0.2 或更高版本时，此指令设置服务器支持的曲线列表。因此，为了使 ECDSA 证书发挥作用，包含证书中使用的曲线非常重要。

句法：	`ssl_handshake_timeout time;`
默认：	ssl_handshake_timeout 60s;
语境：	`stream`,`server`

指定 SSL 握手完成的超时时间。

句法：	`ssl_password_file file;`
默认：	—
语境：	`stream`,`server`

指定file带有密钥的密码短语，其中每个密码短语在单独的行上指定。加载密钥时会依次尝试密码。

例子：

stream {
    ssl_password_file /etc/keys/global.pass;
    ...

    server {
        listen 127.0.0.1:12345;
        ssl_certificate_key /etc/keys/first.key;
    }

    server {
        listen 127.0.0.1:12346;

        # named pipe can also be used instead of a file
        ssl_password_file /etc/keys/fifo;
        ssl_certificate_key /etc/keys/second.key;
    }
}

句法：	`ssl_prefer_server_ciphers on \| off;`
默认：	ssl_prefer_server_ciphers off;
语境：	`stream`,`server`

指定当使用 SSLv3 和 TLS 协议时，服务器密码应优先于客户端密码。

句法：	`ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2] [TLSv1.3];`
默认：	ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
语境：	`stream`,`server`

启用指定的协议。

仅当使用 OpenSSL 1.0.1 或更高版本时， TLSv1.1和参数才有效。TLSv1.2

TLSv1.3仅当使用 OpenSSL 1.1.1 或更高版本时，参数 (1.13.0) 才有效。

TLSv1.3从 1.23.4 开始默认使用该参数。

句法：	`ssl_session_cache off \| none \| [builtin[:size]] [shared:name:size];`
默认：	ssl_session_cache none;
语境：	`stream`,`server`

设置存储会话参数的缓存的类型和大小。缓存可以是以下任何类型：

off: 严格禁止使用会话缓存：nginx 明确告诉客户端会话不能被重用。
none: 温和地禁止使用会话缓存：nginx 告诉客户端会话可以重用，但实际上并不将会话参数存储在缓存中。
builtin: OpenSSL 中内置的缓存；仅由一个工作进程使用。缓存大小在会话中指定。如果未给出大小，则等于 20480 个会话。使用内置缓存可能会导致内存碎片。
shared: 所有工作进程之间共享的缓存。缓存大小以字节为单位指定；1 MB 可以存储大约 4000 个会话。每个共享缓存应该有一个任意名称。具有相同名称的缓存可以在多个服务器中使用。它还用于自动生成、存储和定期轮换 TLS 会话票证密钥 (1.23.2)，除非使用ssl_session_ticket_key指令显式配置。

两种缓存类型可以同时使用，例如：

ssl_session_cache builtin:1000 shared:SSL:10m;

但仅使用共享缓存而不使用内置缓存应该会更有效。

句法：	`ssl_session_ticket_key file;`
默认：	—
语境：	`stream`,`server`

设置file用于加密和解密 TLS 会话票证的密钥。如果必须在多个服务器之间共享相同的密钥，则该指令是必需的。默认情况下，使用随机生成的密钥。

如果指定了多个密钥，则仅使用第一个密钥来加密 TLS 会话票证。这允许配置密钥轮换，例如：

ssl_session_ticket_key current.key;
ssl_session_ticket_key previous.key;

必须file包含 80 或 48 字节的随机数据，可以使用以下命令创建：

openssl rand 80 > ticket.key

根据文件大小，使用 AES256（对于 80 字节密钥，1.11.8）或 AES128（对于 48 字节密钥）进行加密。

句法：	`ssl_session_tickets on \| off;`
默认：	ssl_session_tickets on;
语境：	`stream`,`server`

通过TLS 会话票证启用或禁用会话恢复。

句法：	`ssl_session_timeout time;`
默认：	ssl_session_timeout 5m;
语境：	`stream`,`server`

指定客户端可以重用会话参数的时间。

句法：	`ssl_trusted_certificate file;`
默认：	—
语境：	`stream`,`server`

该指令出现在版本 1.11.8 中。

指定file具有 PEM 格式的可信 CA 证书，用于验证客户端证书。

与ssl_client_certificate 设置的证书相反，这些证书的列表不会发送到客户端。

句法：	`ssl_verify_client on \| off \| optional \| optional_no_ca;`
默认：	ssl_verify_client off;
语境：	`stream`,`server`

该指令出现在版本 1.11.8 中。

启用客户端证书验证。验证结果存储在 $ssl_client_verify变量中。如果客户端证书验证期间发生错误或客户端未提供所需的证书，则连接将关闭。

该optional参数请求客户端证书并验证该证书是否存在。

该optional_no_ca参数请求客户端证书，但不要求它由受信任的 CA 证书签名。这适用于 nginx 外部的服务执行实际证书验证的情况。证书的内容可通过 $ssl_client_cert变量访问。

句法：	`ssl_verify_depth number;`
默认：	ssl_verify_depth 1;
语境：	`stream`,`server`

该指令出现在版本 1.11.8 中。

设置客户端证书链中的验证深度。

嵌入变量

该ngx_stream_ssl_module模块从 1.11.2 开始支持变量。

$ssl_alpn_protocol

返回 ALPN 在 SSL 握手期间选择的协议，否则返回空字符串 (1.21.4)；

$ssl_cipher

返回用于已建立的 SSL 连接的密码的名称；

$ssl_ciphers

返回客户端支持的密码列表 (1.11.7)。已知密码按名称列出，未知密码以十六进制显示，例如：

AES128-SHA:AES256-SHA:0x00ff

仅当使用 OpenSSL 版本 1.0.2 或更高版本时，才完全支持该变量。对于旧版本，该变量仅适用于新会话，并且仅列出已知密码。

$ssl_client_cert

返回已建立 SSL 连接的 PEM 格式的客户端证书，除了第一行之外的每一行都以制表符开头 (1.11.8)；

$ssl_client_fingerprint

返回已建立的 SSL 连接的客户端证书的 SHA1 指纹 (1.11.8)；

$ssl_client_i_dn

根据 RFC 2253 (1.11.8) 返回已建立的 SSL 连接的客户端证书的“颁发者 DN”字符串；

$ssl_client_raw_cert

返回已建立的 SSL 连接的 PEM 格式的客户端证书 (1.11.8)；

$ssl_client_s_dn

根据 RFC 2253 (1.11.8) 返回已建立的 SSL 连接的客户端证书的“主题 DN”字符串；

$ssl_client_serial

返回已建立的 SSL 连接的客户端证书的序列号 (1.11.8)；

$ssl_client_v_end

返回客户端证书的结束日期 (1.11.8)；

$ssl_client_v_remain

返回客户端证书到期之前的天数 (1.11.8)；

$ssl_client_v_start

返回客户端证书的开始日期 (1.11.8)；

$ssl_client_verify

返回客户端证书验证的结果（1.11.8）：“ SUCCESS”、“ FAILED:reason”和“ NONE”（如果证书不存在）；

$ssl_curve

返回用于 SSL 握手密钥交换过程的协商曲线 (1.21.5)。已知曲线按名称列出，未知曲线以十六进制显示，例如：

prime256v1

仅当使用 OpenSSL 3.0 或更高版本时才支持该变量。对于旧版本，变量值将为空字符串。

$ssl_curves

返回客户端支持的曲线列表 (1.11.7)。已知曲线按名称列出，未知曲线以十六进制显示，例如：

0x001d:prime256v1:secp521r1:secp384r1

仅当使用 OpenSSL 版本 1.0.2 或更高版本时才支持该变量。对于旧版本，变量值将为空字符串。

该变量仅适用于新会话。

$ssl_protocol

返回已建立的 SSL 连接的协议；

$ssl_server_name

返回通过SNI 请求的服务器名称；

$ssl_session_id

返回已建立的 SSL 连接的会话标识符；

$ssl_session_reused

r如果重复使用 SSL 会话，则返回“ ”，.否则返回“ ”。