AI 助理
备案控制台
开发者社区 安全 文章 正文

Swoole v4.6 版本新特性之 SNI 支持

2022-04-28 226
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
.cn 域名,1个 12个月
简介: Swoole 在 v4.6.0 版本中对 SNI 进行了支持,这篇文章就对这个新特性进行一些演示和说明。

先来了解一下什么是 SNI 协议?

Server Name Identification 简称 SNI,是一个扩展的 TLS 计算机联网协议,用来解决一个服务器拥有多个域名的情况。

在该协议下,在握手过程开始时通过客户端告诉它正在连接的服务器的主机名称。这允许服务器在相同的 IP 地址和 TCP 端口号上呈现多个证书,并且因此允许在相同的 IP 地址上提供多个安全 HTTPS 网站(或其他任何基于 TLS 的服务),而不需要所有这些站点使用相同的证书。

那么如果一台服务器有多个虚拟主机,而且每个主机的域名不一样,使用了不一样的证书,该和哪个主机进行通信?

和 HTTP 协议用来解决服务器多域名的方案类似,HTTP 在请求头中使用 Host 字段来指定要访问的域名。

而 TLS 的做法也是添加 Host,在客户端发出 SSL 请求中的 Client Hello 阶段进行添加,这样就可以让服务器能够切换到正确的域并返回相应的证书。

在 Swoole 的 GitHub 中也有一个 Issue (#4031),想让 Swoole 的 HTTP Server 支持通过 Hostname 来配置 SSL 信息。

实际上是 Swoole 在 #3908 中已经进行了支持,不过英文网站的文档还没来及更新,所以没有找到相关说明。

下面就来演示 Swoole 如何设置 SNI:

首先先下载证书,这里直接使用 Swoole 测试的证书

wget -r -np -nd -P ./ssl_certs https://cdn.jsdelivr.net/gh/swoole/swoole-src@4.6.2/tests/include/ssl_certs/

下载完成后会存放在当前目录下的ssl_certs目录中

再来创建一个 HTTP Server

use Swoole\Http\Request;
use Swoole\Http\Response;
use Swoole\Http\Server;
$http = new Server('0.0.0.0', 9501);
$http->on('request', function (Request $request, Response $response) {
    $response->end('Hello Swoole');
});
$http->start();

这里就需要用到一个新增的 ssl_sni_certs 选项

ssl_sni_certs的参数是一个二维数组,key 为 Hostname,value 是对应的证书配置

$http->set([
   'ssl_sni_certs' => [
       'cs.php.net' => [
           'ssl_cert_file' => SSL_FILE_DIR . '/sni_server_cs_cert.pem',
           'ssl_key_file' => SSL_FILE_DIR . '/sni_server_cs_key.pem'
       ],
       'uk.php.net' => [
           'ssl_cert_file' => SSL_FILE_DIR . '/sni_server_uk_cert.pem',
           'ssl_key_file' => SSL_FILE_DIR . '/sni_server_uk_key.pem'
       ],
       'us.php.net' => [
           'ssl_cert_file' => SSL_FILE_DIR . '/sni_server_us_cert.pem',
           'ssl_key_file' => SSL_FILE_DIR . '/sni_server_us_key.pem',
       ],
   ]
]);

配置一下 Server 的 sock_type 来支持 SSL,以及对应的证书配置,就有了如下代码

use Swoole\Http\Request;
use Swoole\Http\Response;
use Swoole\Http\Server;
define('SSL_FILE_DIR', __DIR__ . '/ssl_certs');
$http = new Server('127.0.0.1', 9501, SWOOLE_BASE, SWOOLE_SOCK_TCP | SWOOLE_SSL);
$http->set([
   'log_file' => '/dev/null',
   'ssl_cert_file' => SSL_FILE_DIR . '/server.crt',
   'ssl_key_file' => SSL_FILE_DIR . '/server.key',
   'ssl_protocols' => SWOOLE_SSL_TLSv1_2 | SWOOLE_SSL_TLSv1_3 | SWOOLE_SSL_TLSv1_1 | SWOOLE_SSL_SSLv2,
   'ssl_sni_certs' => [
       'cs.php.net' => [
           'ssl_cert_file' => SSL_FILE_DIR . '/sni_server_cs_cert.pem',
           'ssl_key_file' => SSL_FILE_DIR . '/sni_server_cs_key.pem'
       ],
       'uk.php.net' => [
           'ssl_cert_file' => SSL_FILE_DIR . '/sni_server_uk_cert.pem',
           'ssl_key_file' => SSL_FILE_DIR . '/sni_server_uk_key.pem'
       ],
       'us.php.net' => [
           'ssl_cert_file' => SSL_FILE_DIR . '/sni_server_us_cert.pem',
           'ssl_key_file' => SSL_FILE_DIR . '/sni_server_us_key.pem',
       ],
   ]
]);
$http->on('request', function (Request $request, Response $response) {
    $response->end('Hello Swoole');
});
$http->start();

搞个客户端来测试一下

$flags = STREAM_CLIENT_CONNECT;
$port = 9501;
$ctxArr = [
    'cafile' => SSL_FILE_DIR . '/sni_server_ca.pem',
    'capture_peer_cert' => true,
    'verify_peer' => false,
];
$ctxArr['peer_name'] = 'cs.php.net';
$ctx = stream_context_create(['ssl' => $ctxArr]);
$client = stream_socket_client("tls://127.0.0.1:$port", $errno, $errstr, 1, $flags, $ctx);
$cert = stream_context_get_options($ctx)['ssl']['peer_certificate'];
var_dump(openssl_x509_parse($cert)['subject']['CN']);
$ctxArr['peer_name'] = 'uk.php.net';
$ctx = stream_context_create(['ssl' => $ctxArr]);
$client = stream_socket_client("tls://127.0.0.1:$port", $errno, $errstr, 1, $flags, $ctx);
$cert = stream_context_get_options($ctx)['ssl']['peer_certificate'];
var_dump(openssl_x509_parse($cert)['subject']['CN']);
$ctxArr['peer_name'] = 'us.php.net';
$ctx = stream_context_create(['ssl' => $ctxArr]);
$client = stream_socket_client("tls://127.0.0.1:$port", $errno, $errstr, 1, $flags, $ctx);
$cert = stream_context_get_options($ctx)['ssl']['peer_certificate'];
var_dump(openssl_x509_parse($cert)['subject']['CN']);

在测试的同时,使用 tcpdump 进行抓包


tcpdump -i lo0 port 9501 -w sni.pcap

请求成功后,客户端会输出对应的三个 Hostname


$ php swoole.php
string(10) "cs.php.net"
string(10) "uk.php.net"
string(10) "us.php.net"

然后使用 Wireshark 来分析一下抓到的包,通过ssl.handshake来过滤出想要的报文


7.1.png

分析报文发现 server_name 的扩展字段只存在于 Client Hello 这个过程中

接着使用ssl.handshake.extensions_server_name进行过滤,提取出包含 SNI 协议的 Client Hello 报文


7.2.png

就可以看到 SNI 扩展字段:


Extension: server_name (len=15)
Type: server_name (0)
Length: 15
Server Name Indication extension
Server Name list length: 13
Server Name Type: host_name (0)
Server Name length: 10
Server Name: cs.php.net

这里指定了该 TLS 握手的目标域名为 cs.php.net

通过 SNI,拥有多域名的服务器就可以正常建立 TLS 连接了。

下面是完整的测试代码:

<?php
use Swoole\Http\Request;
use Swoole\Http\Response;
use Swoole\Http\Server;
use Swoole\Process\Manager;
use Swoole\Process\Pool;
define('SSL_FILE_DIR', __DIR__ . '/ssl_certs');
$pm = new Manager();
$pm->add(function (Pool $pool, int $workerId) {
    $http = new Server('127.0.0.1', 9501, SWOOLE_BASE, SWOOLE_SOCK_TCP | SWOOLE_SSL);
    $http->set([
       'log_file' => '/dev/null',
       'ssl_cert_file' => SSL_FILE_DIR . '/server.crt',
       'ssl_key_file' => SSL_FILE_DIR . '/server.key',
       'ssl_protocols' => SWOOLE_SSL_TLSv1_2 | SWOOLE_SSL_TLSv1_3 | SWOOLE_SSL_TLSv1_1 | SWOOLE_SSL_SSLv2,
       'ssl_sni_certs' => [
           'cs.php.net' => [
               'ssl_cert_file' => SSL_FILE_DIR . '/sni_server_cs_cert.pem',
               'ssl_key_file' => SSL_FILE_DIR . '/sni_server_cs_key.pem'
           ],
           'uk.php.net' => [
               'ssl_cert_file' => SSL_FILE_DIR . '/sni_server_uk_cert.pem',
               'ssl_key_file' => SSL_FILE_DIR . '/sni_server_uk_key.pem'
           ],
           'us.php.net' => [
               'ssl_cert_file' => SSL_FILE_DIR . '/sni_server_us_cert.pem',
               'ssl_key_file' => SSL_FILE_DIR . '/sni_server_us_key.pem',
           ],
       ]
    ]);
    $http->on('request', function (Request $request, Response $response) {
        $response->end('Hello Swoole');
    });
    $http->start();
});
$pm->add(function (Pool $pool, int $workerId) {
    $flags = STREAM_CLIENT_CONNECT;
    $port = 9501;
    $ctxArr = [
        'cafile' => SSL_FILE_DIR . '/sni_server_ca.pem',
        'capture_peer_cert' => true,
        'verify_peer' => false,
    ];
    $ctxArr['peer_name'] = 'cs.php.net';
    $ctx = stream_context_create(['ssl' => $ctxArr]);
    $client = stream_socket_client("tls://127.0.0.1:$port", $errno, $errstr, 1, $flags, $ctx);
    $cert = stream_context_get_options($ctx)['ssl']['peer_certificate'];
    var_dump(openssl_x509_parse($cert)['subject']['CN']);
    $ctxArr['peer_name'] = 'uk.php.net';
    $ctx = stream_context_create(['ssl' => $ctxArr]);
    $client = stream_socket_client("tls://127.0.0.1:$port", $errno, $errstr, 1, $flags, $ctx);
    $cert = stream_context_get_options($ctx)['ssl']['peer_certificate'];
    var_dump(openssl_x509_parse($cert)['subject']['CN']);
    $ctxArr['peer_name'] = 'us.php.net';
    $ctx = stream_context_create(['ssl' => $ctxArr]);
    $client = stream_socket_client("tls://127.0.0.1:$port", $errno, $errstr, 1, $flags, $ctx);
    $cert = stream_context_get_options($ctx)['ssl']['peer_certificate'];
    var_dump(openssl_x509_parse($cert)['subject']['CN']);
    $pool->shutdown();
});
$pm->start();
文章标签:
域名
网络安全
网络协议
安全
沈唁
目录
相关文章
沈唁
|
安全 API 网络安全
Swoole v4.6.0 版本发布,支持原生 curl 协程客户端
Swoole v4.6.0 版本发布了,同样也是 2021 年的首个版本更新。 作为一个 y 版本发布,此次更新也包含了不兼容的修改以及许多的新功能
沈唁
754 0
1941623231718325
|
8月前
|
网络协议 Java API
JDK 9新特性探秘:HTTP/2支持及其性能优势
本文将深入探讨JDK 9中引入的一项重要新特性——对HTTP/2协议的原生支持。HTTP/2作为下一代互联网传输协议,相较于HTTP/1.1在性能、安全性和效率方面有着显著的提升。JDK 9通过内置HTTP/2客户端API,为Java开发者提供了更加便捷和高效的网络通信手段。本文将详细介绍HTTP/2的特性、JDK 9中HTTP/2的支持方式,以及如何在实际项目中应用这一新特性来提升网络应用的性能。
1941623231718325
127 0
猿长大人
|
XML JSON 数据格式
XmlRPC协议详解(一款不支持原生异步请求的协议)
XmlRPC是一种基于XML(eXtensible Markup Language)的远程过程调用协议。它使用简单的文本格式进行通信,将请求和响应数据封装在XML中,广泛应用于Web服务和分布式系统中。
猿长大人
327 0
北京-宏哥
|
网络安全 Python
python接口自动化(十二)--https请求(SSL)(详解)
本来最新的requests库V2.13.0是支持https请求的,但是一般写脚本时候,我们会用抓包工具fiddler,这时候会 报:requests.exceptions.SSLError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:590) 小编环境:
北京-宏哥
868 0
python接口自动化(十二)--https请求(SSL)(详解)
沈唁
Swoole v4.5.9版本发布,兼容PHP8!
PHP8 现在已经正式发布了,它引入了一些重大变更,以及许多新特性和性能优化,包括命名参数、联合类型、注解、Constructor Property Promotion、match 表达式、nullsafe 运算符、JIT,以及对类型系统、错误处理和一致性的改进。 Swoole 也在第一时间进行来兼容,可以和 PHP8 一起使用,需要在 PHP8 使用 Swoole 的小伙伴可以直接使用此版本,其他低版本可能编译失败哦。
沈唁
983 0
沈唁
|
Go 网络安全 API
Swoole v4.6.3 版本发布,祝大家 2021 春节快乐
v4.6.3 版本主要是一个 Bug 修复版本,没有向下不兼容改动。
沈唁
120 0
沈唁
|
网络协议 PHP
Swoole v4.5.1版本发布
v4.5.1,这是一个 BUG 修复版本, 补充了本应在v4.5.0引入的 System 文件函数废弃标记。
沈唁
143 0
沈唁
|
关系型数据库 MySQL 测试技术
Swoole v4.5.3版本发布
新增了APL,修复了一些错误
沈唁
149 0
沈唁
|
NoSQL 关系型数据库 MySQL
Swoole v4.4.20版本发布
v4.4.20,这是一个 BUG 修复版本, 没有任何向下不兼容改动
沈唁
148 0
沈唁
|
域名解析 网络协议 NoSQL
Swoole v4.7 版本预览之支持 c-ares
c-ares 是一个异步 DNS 解析库。 它适用于需要在不阻塞的情况下执行 DNS 查询或需要并行执行多个 DNS 查询的应用程序。
沈唁
580 0

热门文章

最新文章

  • 1
    如何优雅打印nginx header和body
  • 2
    Swin Transformer实战:使用 Swin Transformer实现图像分类
  • 3
    5G中的调制技术:从QPSK到256QAM,赋能高速率通信
  • 4
    数据包络分析(DEA)
  • 5
    mysql 8.0 使用 XtraBackup增量备份及恢复
  • 6
    MFC中将编辑框文本转换成整数,从而实现两个整数相加。
  • 7
    现在到底还该不该买房?
  • 8
    为企业用户分析PR策略,TrendKite获1630万美元融资
  • 9
    运维平台的建设思考-元数据管理(二)
  • 10
    uploadify2.1.4上传组件应用实例
  • 1
    操作系统智能助手OS Copilot新功能上线,快来体验吧
    49
  • 2
    超好看的404提示页面HTML源码
    106
  • 3
    【05】flutter完成注册页面完善样式bug-增加自定义可复用组件widgets-严格规划文件和目录结构-规范入口文件-开发完整的社交APP-前端客户端开发+数据联调|以优雅草商业项目为例做开发-flutter开发-全流程-商业应用级实战开发-优雅草央千澈
    100
  • 4
    [Git] 深入理解 Git 的客户端与服务器角色
    37
  • 5
    [Git] 如何理解及基础操作
    42
  • 6
    [Linux工具] Makefile
    37
  • 7
    为什么C/C++编译腰要先完成汇编
    36
  • 8
    深入理解GCC 和 G++ 编译器
    36
  • 9
    os-copilot安装与多项功能测评,帮助开发人员PHP环境排查问题
    70
  • 10
    Python3虚拟环境venv
    53

    • 相关电子书

    更多
  • 低代码开发师(初级)实战教程
  • 冬季实战营第三期:MySQL数据库进阶实战
  • 阿里巴巴DevOps 最佳实践手册
    • 下一篇
    阿里云oss简介和如何对接使用