Nginx_Tassl
Nginx_Tassl copied to clipboard
jntass
支持国密协议的nginx (Tassl that supports CNTLS protocols)
`ssl_protocols` 可以控制是否使用 `TLSv1` `TLSv1.1` `TLSv1.2`等协议,能否添加使用 `ssl_protocols` 控制是否使用 `GMTLS` 协议
我对比了下与 nginx-1.16.0 的代码,有一处修改不太明白,为什么将 src/event/ngx_event_acceptex.c 与 src/event/ngx_event_connectex.c 这两个文件删除了?
利用nginx-tassl tassl-demo提供的脚本生成证书与密钥,然后使用密信浏览器访问Nginx-tassl时,密信浏览器提示证书无效。 查看详细信息时提示证书验证失败。也尝试了将CA证书导入密信浏览器,但仍然报同样的错误(net::ERR_CERT_AUTHORITY_INVALID)
除了使用国密浏览器,客户端(client)能够通过curl+tassl,或者java+tassl,或者go+tassl访问nginx_Tassl吗? 另外,国密浏览器有linux版本么?
make 时出错
src/event/ngx_event_openssl.c: 在函数‘ngx_ssl_certificate’中: src/event/ngx_event_openssl.c:538:6: 错误:隐式声明函数‘SSL_CTX_use_enc_certificate_file’ [-Werror=implicit-function-declaration]
当使用`签名证书`和`加密证书` 同时具备签名和加密功能时, 浏览器会提示错误,具体原因如下: 1. `ngx_ssl_certificate`加载`签名证书`; 2. `SSL_CTX_use_certificate`中调用`ssl_set_cert`; 3. `ssl_set_cert`中对证书进行查询(`ssl_cert_lookup_by_pkey`),获得`index`为`3`,即为ECC`签名`证书`x`; - 其中对证书的`ex_kusage`字段和`X509v3_KU_DIGITAL_SIGNATURE`做了`与`运算,满足条件,因此对证书做了赋值,即`c->pkeys[3].x509 = x`; - 紧接着,证书的`ex_kusage`字段和`(X509v3_KU_KEY_ENCIPHERMENT | X509v3_KU_DATA_ENCIPHERMENT | X509v3_KU_KEY_AGREEMENT)`做了`与`运算(分支里面存在`i=SSL_PKEY_ECC_ENC`的复制,即 此时`i`值赋值为9),也满足条件,因此也做了赋值,即`c->pkeys[9].x509 = x`,即给`加密证书的位置,赋值了签名证书`,其实是个误操作; 4. `SSL_CTX_use_PrivateKey`中调用`ssl_set_pkey`,设置` c->pkeys[3].privatekey = pkey` 这个是正常操作,将idx=3的私钥写入对应的位置; 5. 然后进入判断`加密`证书步骤,使用`SSL_CTX_use_certificate_file`,内部其实调用的也是`SSL_CTX_use_certificate`,进而调用了`ssl_set_cert`;...
