nginx中文文档-ngx_stream_ssl_module

ngx_stream_ssl_module模块(1.9.0+)为代理流服务器提供必要的SSL/TLS协议支持。该模块默认不会构建,需要通过–with-stream_ssl_module配置参数启用。

示例配置
为降低处理器负载,建议

  • 设置工作进程数等于处理器个数
  • 启用共享会话缓存
  • 禁用built-in会话缓存
  • 增加会话的有效期(默认是5分钟)
worker_processes auto;

stream {

    ...

    server {
        listen              12345 ssl;

        ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers         AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5;
        ssl_certificate     /usr/local/nginx/conf/cert.pem;
        ssl_certificate_key /usr/local/nginx/conf/cert.key;
        ssl_session_cache   shared:SSL:10m;
        ssl_session_timeout 10m;

        ...
    }

ssl_certificate

语法:ssl_certificate file
默认:—
上下文:stream, server

为给定的服务器指定一个PEM格式的证书文件。如果中级证书需要指定在初级证书中,它们需要在相同的文件中按如下顺序指定:初级证书在前,然后是中级证书。PEM格式的密钥也应该放到相同文件中。
从1.11.0版本开始,该指令可以指定多次加载不同类型的证书,例如RSA和ECDSA:

server {
    listen              12345 ssl;

    ssl_certificate     example.com.rsa.crt;
    ssl_certificate_key example.com.rsa.key;

    ssl_certificate     example.com.ecdsa.crt;
    ssl_certificate_key example.com.ecdsa.key;

    ...
}

只有OpenSSL1.0.2及更高版本支持分离的不同证书链。旧版本只有一个证书链可以使用。

ssl_certificate_key

语法:ssl_certificate_key file
默认:—
上下文:stream, server

为给定的服务器指定一个PEM格式的密钥文件。
engine:name:id值可以代替文件指定,会从OpenSSL引擎name中加载指定id的密钥。

ssl_ciphers

语法:ssl_ciphers ciphers
默认:ssl_ciphers HIGH:!aNULL:!MD5
上下文:stream, server

指定启用的加密算法。加密算法指定为OpenSSL库可以识别的格式,例如:
ssl_ciphers ALL:!aNULL:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
完整的列表可以通过“openssl ciphers”命令查看。

ssl_dhparam

语法:ssl_dhparam file
默认:—
上下文:stream, server

为DHE算法指定一个包含DH参数的文件。

ssl_ecdh_curve

语法:ssl_ecdh_curve curve
默认:ssl_ecdh_curve auto
上下文:stream, server

为ECDHE算法是定一个curve。
当使用OpenSSL1.0.2或更高版本时,可以指定多个curves(1.11.0+),例如:
ssl_ecdh_curve prime256v1:secp384r1;
在使用OpenSSL1.0.2及更高版本时,特殊值auto(1.11.0+)指示nginx使用一个OpenSSL库中建立的列表,老版本使用prime256v1。
在1.11.0版本之前,prime256v1 curve会被默认使用。

ssl_handshake_timeout

语法:ssl_handshake_timeout time
默认:ssl_handshake_timeout 60s
上下文:stream, server

指定SSL握手完成的超时时间。

ssl_password_file

语法:ssl_password_file file
默认:—
上下文:stream, server

指定一个文件保存密钥的密码,每个密码指定在单独的一行中。密码在加载密钥时会轮流尝试。
示例:

stream {
    ssl_password_file /etc/keys/global.pass;
    ...

    server {
        listen 127.0.0.1:12345;
        ssl_certificate_key /etc/keys/first.key;
    }

    server {
        listen 127.0.0.1:12346;

        # named pipe can also be used instead of a file
        ssl_password_file /etc/keys/fifo;
        ssl_certificate_key /etc/keys/second.key;
    }
}

ssl_prefer_server_ciphers

语法:ssl_prefer_server_ciphers on | off
默认:ssl_prefer_server_ciphers off
上下文:stream, server

指定当使用SSLv3和TLS协议使用时服务器加密算法应该优先于客户端加密算法。

ssl_protocols

语法:ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2]
默认:ssl_protocols TLSv1 TLSv1.1 TLSv1.2
上下文:stream, server

启用指定的协议。TLSv1.1和TLSv1.2参数只有OpenSSL库在1.0.1及更高版本使用时才有效。

ssl_session_cache

语法:ssl_session_cache off | none | [builtin[:size]] [shared:name:size]
默认:ssl_session_cache none
上下文:stream, server

设置保存会话参数的缓存类型和大小。缓存可以下面任意类型:
off
使用会话缓存是强烈禁止的:nginx明确告诉客户端会话不能被重用。

none
使用会话缓存是不允许的:nginx告诉客户端会话可以重用,但实际上会话参数不会保存在缓存中。

builtin
构建在OpenSSL中的缓存,只被一个工作进程使用。缓存大小指定在会话中。如果没给出大小,它等于20480个会话,使用built-in缓存可以引起内存碎片。

shared
在工作进程之间共享的缓存。缓存大小指定为字节。1M可以保存大约4000个会话。每个共享缓存有一个唯一的名字。相同名字的缓存可以在多个服务器之间使用。
缓存和类型可以同时使用,例如:
ssl_session_cache builtin:1000 shared:SSL:10m;
但是只使用共享缓存不带built-in缓存会更有效率。

ssl_session_ticket_key

语法:ssl_session_ticket_key file
默认:—
上下文:stream, server

设置一个带密钥的文件用于加密和解密TLS会话凭据。如果相同的密钥在多个服务器之间共享,该指令是必要的。默认情况下,会使用随机生成的密钥。
如果指定的多个密钥,只有第一个密钥会用于加密TLS会话凭据。这允许配置密钥循环,例如:

ssl_session_ticket_key current.key;
ssl_session_ticket_key previous.key;

文件必须包含48字节的随机数据,可以通过下面命令创建:
openssl rand 48 > ticket.key

ssl_session_tickets

语法:ssl_session_tickets on | off
默认:ssl_session_tickets on
上下文:stream, server

启用或禁用通过TLS会话凭证的会话恢复。

ssl_session_timeout

语法:ssl_session_timeout time
默认:ssl_session_timeout 5m
上下文:stream, server

指定一个时间,在这个期间客户端可以重用保存在缓存中的会话参数。

nginx中文文档-ngx_stream_proxy_module

ngx_stream_proxy_module模块(1.9.0+)允许代理TCP、UDP(1.9.13+)以及UNIX-domain socket的数据流。

示例配置

server {
    listen 127.0.0.1:12345;
    proxy_pass 127.0.0.1:8080;
}

server {
    listen 12345;
    proxy_connect_timeout 1s;
    proxy_timeout 1m;
    proxy_pass example.com:12345;
}

server {
    listen 53 udp;
    proxy_responses 1;
    proxy_timeout 20s;
    proxy_pass dns.example.com:53;
}

server {
    listen [::1]:12345;
    proxy_pass unix:/tmp/stream.socket;
}

proxy_bind

语法:proxy_bind address [transparent] | off
默认:—
上下文:stream, server
版本:1.9.2+

从指定的本地IP地址向被代理服务器发起外部连接。特殊值off取消从上层配置中继承的proxy_bind指令产生的影响,允许系统自动分配本地IP地址。
transparent参数(1.11.0+)允许从一个非本地IP地址发起到被代理服务器的外部连接,例如从一个客户端的真实IP地址:
proxy_bind $remote_addr transparent;
为了使这个参数生效,需要以超级用户权限运行nginx工作进程,并配置核心路由表以截获从被代理服务器的网络流量。

proxy_buffer_size

语法:proxy_buffer_size size
默认:proxy_buffer_size 16k
上下文:stream, server
版本:1.9.4+

设置用于读取来自于被代理服务器的数据缓冲区大小。同时设置用于读取来自于客户端的数据缓冲区大小。

proxy_connect_timeout

语法:proxy_connect_timeout time
默认:proxy_connect_timeout 60s
上下文:stream, server

定义一个与被代理服务器建立连接的超时时间。

proxy_download_rate

语法:proxy_download_rate rate
默认:proxy_download_rate 0
上下文:stream, server
版本:1.9.3+

限制从被代理服务器读取数据的速度。速度定义为字节每秒。零值禁用限速。限制是针对每个连接,所以如果nginx同时打开两个连接到被代理服务器,整体的速度将为指定限速的两倍。

proxy_next_upstream

语法:proxy_next_upstream on | off
默认:proxy_next_upstream on
上下文:stream, server

当与被代理服务器的连接不能够建立时,决定客户端连接是否传递到下一个服务器。
传递连接到下一个服务器可以由尝试次数和时间限制。

proxy_next_upstream_timeout

语法:proxy_next_upstream_timeout time
默认:proxy_next_upstream_timeout 0
上下文:stream, server

限制允许传递连接到下一个服务器的时间。零值关闭这个限制。

proxy_next_upstream_tries

语法:proxy_next_upstream_tries number
默认:proxy_next_upstream_tries 0
上下文:stream, server

限制传递连接到下一个服务器的尝试次数。零值关闭这个限制。

proxy_pass

语法:proxy_pass address
默认:—
上下文:server

设置被代理服务器的地址。地址可以定义为一个域名或IP地址和一个端口号:
proxy_pass localhost:12345;
或一个UNIX-domain socket路径:
proxy_pass unix:/tmp/stream.socket;
如果域名解析成多个地址,它们会轮流使用。地址可以指定为一个服务器组。

proxy_protocol

语法:proxy_protocol on | off
默认:proxy_protocol off
上下文:stream, server
版本:1.9.2+

为连接到被代理服务器启用PROXY协议。

proxy_responses

语法:proxy_responses number
默认:—
上下文:stream, server
版本:1.9.13+

如果使用UDP协议,设置期望从被代理服务器响应给客户端请求的数据报数量。默认数据报数量是不限制的:响应数据报将一直发送直到proxy_timeout值过期。

proxy_ssl

语法:proxy_ssl on | off
默认:proxy_ssl off
上下文:stream, server

为连接到被代理服务器启用SSL/TLS协议。

proxy_ssl_certificate

语法:proxy_ssl_certificate file
默认:—
上下文:stream, server

指定PEM格式的证书文件用于验证被代理服务器。

proxy_ssl_certificate_key

语法:proxy_ssl_certificate_key file
默认:—
上下文:stream, server

指定PEM格式的密钥文件,用于验证被代理服务器。

proxy_ssl_ciphers

语法:proxy_ssl_ciphers ciphers
默认:proxy_ssl_ciphers DEFAULT
上下文:stream, server

为连接到被代理服务器指定可用的加密算法。加密算法指定为OpenSSL库可以理解的格式。
完整的列表可以通过“openssl ciphers”命令查看。

proxy_ssl_crl

语法:proxy_ssl_crl file
默认:—
上下文:stream, server

指定一个PEM格式的吊销证书文件,用于验证被代理服务器的证书。

proxy_ssl_name

语法:proxy_ssl_name name
默认:proxy_ssl_name host from proxy_pass
上下文:stream, server

允许覆盖用于验证被代理服务器的服务器名称,并通过SNI在与被代理服务器建立连接时传递。
默认proxy_pass地址的host部分会被使用。

proxy_ssl_password_file

语法:proxy_ssl_password_file file
默认:—
上下文:stream, server

为密钥指定一个密码文件,密码指定在单独的行中。在加载密钥时密码会被轮流尝试。

proxy_ssl_server_name

语法:proxy_ssl_server_name on | off
默认:proxy_ssl_server_name off
上下文:stream, server

启用或禁用在与被代理服务器建立连接时,通过TLS Server Name Indication扩展(SNI,RFC 6066)传递服务器名称。

proxy_ssl_session_reuse

语法:proxy_ssl_session_reuse on | off
默认:proxy_ssl_session_reuse on
上下文:stream, server

决定与被代理服务器工作时是否可以重用SSL会话。如果在日志中出现“SSL3_GET_FINISHED:digest check failed”错误,尝试禁用会话重用。

proxy_ssl_protocols

语法:proxy_ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2]
默认:proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2
上下文:stream, server

为连接到被代理服务器启用指定的协议。

proxy_ssl_trusted_certificate

语法:proxy_ssl_trusted_certificate file
默认:—
上下文:stream, server

指定一个PEM格式的可信CA证书文件,用于验证被代理服务器的证书。

proxy_ssl_verify

语法:proxy_ssl_verify on | off
默认:proxy_ssl_verify off
上下文:stream, server

启用或禁用验证被代理服务器证书。

proxy_ssl_verify_depth

语法:proxy_ssl_verify_depth number
默认:proxy_ssl_verify_depth 1
上下文:stream, server

设置验证被代理服务器证书链深度。

proxy_timeout

语法:proxy_timeout timeout
默认:proxy_timeout 10m
上下文:stream, server

设置两次成功的与被代理服务器或客户端的连接之间读写操作的超时时间。如果在这个时间没有数据传输,连接将被关闭。

proxy_upload_rate

语法:proxy_upload_rate rate
默认:proxy_upload_rate 0
上下文:stream, server
版本:1.9.3+

限制从客户端读取数据的速度。速率指定为字节每秒。零值禁用速度限制。限制针对每一个连接,所以如果客户端同时开启两个连接,整体速率将为指定限制的两倍。