nginx中文文档-ngx_http_ssl_module

此页面版本:2016-06-08
ngx_http_ssl_module模块为HTTPS提供必要的支持,该模块默认不会构建,需要通过–with-http_ssl_module配置参数启用。该模块需要OpenSSL库。

示例配置
为减少处理器加载,建议:

  • 设置工作进程数等于处理器数
  • 启用keep-alive连接
  • 启用共享会话缓存
  • 禁用build-in会话缓存
  • 增加会话的有效期(默认是5分钟)
worker_processes auto;

http {

    ...

    server {
        listen              443 ssl;
        keepalive_timeout   70;

        ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers         AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5;
        ssl_certificate     /usr/local/nginx/conf/cert.pem;
        ssl_certificate_key /usr/local/nginx/conf/cert.key;
        ssl_session_cache   shared:SSL:10m;
        ssl_session_timeout 10m;

        ...
    }

ssl

语法:ssl on | off
默认:ssl off
上下文:http, server

为给定的虚拟服务器启用HTTPS协议支持。
建议用listen指令的ssl参数替代这个指令。

ssl_buffer_size

语法:ssl_buffer_size size
默认:ssl_buffer_size 16k
上下文:http, server
版本:1.5.9+

设置发送数据缓冲区的大小。
默认,缓冲区大小为16k,对发送很大的响应消耗很小。为了减少首字节发送时间,可以用更小的值,例如:
ssl_buffer_size 4k;

ssl_certificate

语法:ssl_certificate file
默认:—
上下文:http, server

为给定的虚拟服务器指定一个PEM格式的证书文件。如果除初级证书之外还需要中级证书,它们需要在同一个文件中按如下顺序指定:先指定初级证书,然后是中级证书。PEM格式的密钥也需要放在同一个文件中。
从1.11.0版本开始,该指令可以指定多次加载不同的证书类型,例如RSA和ECDSA:

server {
    listen              443 ssl;
    server_name         example.com;

    ssl_certificate     example.com.rsa.crt;
    ssl_certificate_key example.com.rsa.key;

    ssl_certificate     example.com.ecdsa.crt;
    ssl_certificate_key example.com.ecdsa.key;

    ...
}

只有OpenSSL 1.0.2或更高版本支持为不同的证书分离证书链,老版本只能用一个证书链。
注意,由于HTTPS协议限制,虚拟服务器需要监听不同的IP地址:

server {
    listen          192.168.1.1:443;
    server_name     one.example.com;
    ssl_certificate /usr/local/nginx/conf/one.example.com.cert;
    ...
}

server {
    listen          192.168.1.2:443;
    server_name     two.example.com;
    ssl_certificate /usr/local/nginx/conf/two.example.com.cert;
    ...
}

否则第一个服务器证书将颁发给第二个网站。

ssl_certificate_key

语法:ssl_certificate_key file
默认:—
上下文:http, server

为给定的虚拟服务器指定PEM格式的密钥文件。可以使用engine:name:id值替代file(1.7.9+),从OpenSSL引擎name加载指定id的密钥。

ssl_ciphers

语法:ssl_ciphers ciphers
默认:ssl_ciphers HIGH:!aNULL:!MD5
上下文:http, server

指定可以使用的加密算法。加密算法为OpenSSL库可以理解的格式,例如:
ssl_ciphers ALL:!aNULL:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
完整列表可以通过“openssl ciphers”命令查看。
之前版本的nginx默认使用不同的加密算法。

ssl_client_certificate

语法:ssl_client_certificate file
默认:—
上下文:http, server

指定一个PEM格式的可信CA证书文件,用于验证客户端证书,如果ssl_stapling启用,验证OCSP响应。
证书列表会发给客户端,如果不希望这样做,可以使用ssl_trusted_certificate指令。

ssl_crl

语法:ssl_crl file
默认:—
上下文:http, server
版本:0.8.7+

指定一个PEM格式的吊销证书列表文件,用于验证客户端证书。

ssl_dhparam

语法:ssl_dhparam file
默认:—
上下文:http, server
版本:0.7.2+

指定DHE算法DH参数的文件。

ssl_ecdh_curve

语法:ssl_ecdh_curve curve
默认:ssl_ecdh_curve auto
上下文:http, server
版本:1.1.0+,1.0.6+

为ECDHE算法指定curve。
当使用OpenSSL 1.0.2及更高版本时,可以指定多个curves,例如,
ssl_ecdh_curve prime256v1:secp384r1;
特殊值auto指示nginx在OpenSSL 1.0.2或更高版本时使用一个OpenSSL内建的列表,老版本使用prime256v1
在1.11.0版本以前,默认值是prime256v1。

ssl_password_file

语法:ssl_password_file file
默认:—
上下文:http, server
版本:1.7.3+

指定一个包含密钥密码的文件,每个密码占用一行,当加载密钥时会轮流尝试密码。
例子:

http {
    ssl_password_file /etc/keys/global.pass;
    ...

    server {
        server_name www1.example.com;
        ssl_certificate_key /etc/keys/first.key;
    }

    server {
        server_name www2.example.com;

        # named pipe can also be used instead of a file
        ssl_password_file /etc/keys/fifo;
        ssl_certificate_key /etc/keys/second.key;
    }
}

ssl_prefer_server_ciphers

语法:ssl_prefer_server_ciphers on | off
默认:ssl_prefer_server_ciphers off
上下文:http, server

当使用SSLv3和TLS协议时,指定服务器首选加密算法。

ssl_protocols

语法:ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2]
默认:ssl_protocols TLSv1 TLSv1.1 TLSv1.2
上下文:http, server

启用指定的协议。TLSv1.1和TLSv1.2参数只有在OpenSSL库大于等于1.0.1版本上可用。
TLSv1.1和TLSv1.2参数从1.1.13和1.0.12版本开始支持,所以当在OpenSSL版本大于等于1.0.1的老版本nginx上这些协议工作,但不能禁用。

ssl_session_cache

语法:ssl_session_cache off | none | [builtin[:size]] [shared:name:size]
默认:ssl_session_cache none
上下文:http, server

设置存储session参数的缓存类型和大小。缓存可以是下面任一类型:
off
严格禁止使用会话缓存:nginx明确的告知客户端会话不能重用。

none
使用会话缓存不允许:nginx告诉客户端会话可以重用,但是在缓存中并不存储会话参数。

builtin
缓存建立在OpenSSL中,只被一个工作进程使用。缓存大小在会话中指定。如果大小没有给出,等于20480个session。使用built-in缓存可以导致内存碎片。

shared
缓存在所有工作进程中共享。缓存大小指定为字节数,1M可以存储大约4000个会话。每个共享缓存应该有一个专门的名字。相同名字的缓存可以在多个虚拟服务器之间使用。

所有缓存类型都可以同时使用,例如:
ssl_session_cache builtin:1000 shared:SSL:10m;
不使用built-in缓存只用共享缓存更有效。

ssl_session_ticket_key

语法:ssl_session_ticket_key file
默认:—
上下文:http, server
版本:1.5.7+

设置带有密钥的文件用于加密解密TLS会话凭证。如果相同的密钥在多个服务器之间共享,这个指令是必要的。默认情况下,使用随机生成的密钥。
如果定义了几个秘钥,只有第一个秘钥会用于加密TLS会话凭证。这允许配置密钥轮询,例如:

ssl_session_ticket_key current.key;
ssl_session_ticket_key previous.key;

文件必须包含48字节的随机数据,可以用以下命令创建:
openssl rand 48 > ticket.key

ssl_session_tickets

语法:ssl_session_tickets on | off
默认:ssl_session_tickets on
上下文:http, server
版本:1.5.9+

启用或禁用重用会话。

ssl_session_timeout

语法:ssl_session_timeout time
默认:ssl_session_timeout 5m
上下文:http, server

指定一个时间,在这个期间内,客户端可以重用保存在缓存中的会话参数。

ssl_stapling

语法:ssl_stapling on | off
默认:ssl_stapling off
上下文:http, server
版本:1.3.7+

启用或禁用stapling of OCSP responses功能,例如:

ssl_stapling on;
resolver 192.0.2.1;

为了使OCSP stapling工作,服务器证书的颁发者应该熟知的。如果ssl_certificate文件不包含中级证书,服务器证书的颁发者需要出现在ssl_trusted_certificate文件中。
为了解析OCSP的主机名,resolver指令需要指定。

ssl_stapling_file

语法:ssl_stapling_file file
默认:—
上下文:http, server
版本:1.3.7+

当设置了此指令,OCSP响应会从指定的文件中取,而不是查询OCSP响应器指定的服务器证书。
这个文件需要DER格式,由“openssl ocsp”命令提供。

ssl_stapling_responder

语法:ssl_stapling_responder url
默认:—
上下文:http, server
版本:1.3.7+

覆盖OCSP响应器指定在“Authority Information Access”证书扩展项中的URL。
只有“http://”OCSP响应器被支持:
ssl_stapling_responder http://ocsp.example.com/;

ssl_stapling_verify

语法:ssl_stapling_verify on | off
默认:ssl_stapling_verify off
上下文:http, server
版本:1.3.7+

启用或启用服务器验证OCSP响应。
为了使验证工作,服务器证书颁发者,根证书以及所有中级证书需要使用ssl_trusted_certificate指令设置为可信。

ssl_trusted_certificate

语法:ssl_trusted_certificate file
默认:—
上下文:http, server
版本:1.3.7+

指定一个PEM格式的可信CA证书文件,用于验证客户端证书以及在ssl_stapling启用时验证OCSP响应。
与ssl_client_certificate设置的证书相比,这个证书列表不会发给客户端。

ssl_verify_client

语法:ssl_verify_client on | off | optional | optional_no_ca
默认:ssl_verify_client off
上下文:http, server

启用验证客户端证书。验证结果保存在$ssl_client_verify变量中。
optional参数(0.8.7+)请求客户端证书,如果证书存在则会验证它。
optional_no_ca参数(1.3.8+,1.2.5+)请求客户端证书,但是不需要由可信的CA证书签发。这个一般用于nginx外部服务实际去验证证书。证书的内容可以通过$ssl_client_cert变量访问。

ssl_verify_depth

语法:ssl_verify_depth number
默认:ssl_verify_depth 1
上下文:http, server

设置在客户端证书链中验证的深度。

错误处理
ngx_http_ssl_module模块支持一些非标准的错误码,可以用于重定向到error_page指令:
495
当客户端证书验证过程中出现错误。

496
客户端没有给出需要的证书。

497
一个常规的请求被发到了HTTPS端口。

重定向发生在请求完全解析后,变量如$request_uri, $uri, $args和其他的都可以使用。

内嵌变量
ngx_http_ssl_module模块支持一些内嵌变量:


$ssl_cipher
返回建立SSL连接使用的加密算法字符串。


$ssl_client_cert
返回PEM格式的客户端证书,用于建立SSL连接,除第一行外,每一行前面都有tab字符。这个用于proxy_set_header指令使用。


$ssl_client_fingerprint
返回客户端建立SSL连接的证书SHA1指纹(1.7.1+)。


$ssl_client_raw_cert
返回建立SSL连接时PEM格式的客户端证书。


$ssl_client_serial
返回建立SSL连接时PEM格式的客户端证书的序号。


$ssl_client_s_dn
返回建立SSL连接时PEM格式的客户端证书的“subject DN”字符串。


$ssl_client_i_dn
返回建立SSL连接时PEM格式的客户端证书的“issuer DN”字符串。


$ssl_client_verify
返回客户端证书验证结果:“SUCCESS”,“FAILED”以及当证书没有出现时的“NONE”。


$ssl_protocol
返回建立SSL连接时的协议。


$ssl_server_name
返回通过SNI查询的服务器名称(1.7.0+)。


$ssl_session_id
返回建立SSL连接的会话标识符。


$ssl_session_reused
如果SSL会话重用,返回“r”,否则为“.”(1.5.11+)。

nginx中文文档-ngx_http_ssi_module

此页面版本:2016-06-08
ngx_http_ssi_module模块是一个过滤器,用于处理传给它的响应中的SSI(Server Side Includes)命令。目前支持的SSI命令列表还不完全。

示例配置

location / {
    ssi on;
    ...
}

ssi

语法:ssi on | off
默认:ssi off
上下文:http, server, location, if in location

启用或禁用处理响应中的SSI命令。

ssi_last_modified

语法:ssi_last_modified on | off
默认:ssi_last_modified off
上下文:http, server, location
版本:1.5.1+

在处理SSI时,允许保存原始响应头中的“Last-Modified”字段,以助于响应缓存。
默认情况下,这个头域会被移除,因为响应的内容在处理过程中会改变,也可能包含动态生成的元素或与原始响应独立改变的部分。

ssi_min_file_chunk

语法:ssi_min_file_chunk size
默认:ssi_min_file_chunk 1k
上下文:http, server, location

设置响应保存到磁盘上最小的部分大小,从这个值开始,会用sendfile发送。

ssi_silent_errors

语法:ssi_silent_errors on | off
默认:ssi_silent_errors off
上下文:http, server, location

如果启用,在SSI处理过程中发生了错误,会禁止输出“[an error occurred while processing the directive]”字符串。

ssi_types

语法:ssi_types mime-type
默认:ssi_types text/html
上下文:http, server, location

启用指定的除了“text/html”之外的MIME类型响应处理SSI命令。特殊值“*”匹配任何的MIME类型(0.8.29+)。

ssi_value_length

语法:ssi_value_length length
默认:ssi_value_length 256
上下文:http, server, location

设置SSI命令中最大的参数值长度。

SSI 命令
SSI命令有以下一般的格式:

下面的命令也支持:
block
定义一个块,用作include命令的存根。块可以包含其他SSI命令。命令可以由以下参数:
name
块名称
例子:


stub

config
设置在SSI处理过程中的一些参数:
errmsg
如果在SSI处理过程中发生错误,则输出这个字符串。默认情况下,以下字符串会被输出:
[an error occurred while processing the directive]
timefmt
传给strftime()函数的格式字符串用于输出日期和时间。默认情况下,使用下面的格式:
"%A, %d-%b-%Y %H:%M:%S %Z"
“%s”格式匹配输出时间的秒数

echo
输出变量的值,该命令有如下参数:
var
变量名称
encoding
编码方式。可能的值包含none,url和entity。默认情况下使用entity。
default
非标准参数用于设置当变量未定义时输出的字符串。默认情况下,输出“none”。命令

替换下面的命令:
no

if
条件包含。下面的命令受支持:


...

...

...

目前只支持一级嵌套。命令有以下参数:
expr
表达式,可以是:
变量存在性检测:

变量与值对比:



变量与正则表达式对比:



如果text包含变量,它们的值会被替代。正则表达式可以包含位置捕获和名称捕获,可以在后面通过变量使用,例如:


    
    

include
在响应中包含另一个请求的结果。该命令有以下参数:
file
指定一个包含文件,例如:

virtual
指定一个包含的请求,例如:

一个页面指定多个请求并由被代理服务器或FastCGI/uwsgi/SCGI服务器并行处理。如果希望串行处理,使用wait参数。
stub
非标准参数用于命名将被输出的块,这些块在包含的请求结果为空或处理请求过程中出现错误时会被输出,例如:

 

替换块的内容会在包含请求的上下文中处理。
wait
非标准参数,在一个请求完全完成前进行等待,例如:

set
非标准参数,成功的请求处理结果写到指定变量中,例如:

需要注意,只有使用ngx_http_proxy_module, ngx_http_memcached_module, ngx_http_fastcgi_module (1.5.6+), ngx_http_uwsgi_module (1.5.6+)以及 ngx_http_scgi_module (1.5.6+) 模块获得的响应结果可以写进变量。

set
设置变量的值,命令可以包含以下参数:
var
变量名
value
变量值。如果赋值包含变量,它们的值会被替代。

内嵌变量
ngx_http_ssi_module模块支持两个内嵌变量:


$date_local
当前时区下的时间。格式由config命令的timefmt参数指定。


$date_gmt
GMT的当前时间。格式由config命令的timefmt参数指定。