主页 > 游戏开发 >

Ubuntu下nginx-1.24.0源码分析-ngx_ssl_init函数

游戏开发
2025-09-06 23:51:02

#if (NGX_OPENSSL) ngx_ssl_init(log); #endif

objs/ngx_auto_config.h 中

#ifndef NGX_OPENSSL #define NGX_OPENSSL 1 #endif

所以这个条件编译成立

NGX_OPENSSL 是一个宏定义，用于控制与 OpenSSL 相关的功能是否被启用

若用户通过./configure参数（如--with-http_ssl_module）显式启用SSL模块，则NGX_OPENSSL宏会被定义

OpenSSL 是一个开源的加密库，广泛用于实现安全通信协议（如 HTTPS、TLS/SSL）以及提供各种加密和解密功能

ngx_ssl_init 声明

在 src/event/ngx_event_openssl.h 中：

ngx_int_t ngx_ssl_init(ngx_log_t *log);

实现

在 src\event\ngx_event_openssl.c 中：

ngx_int_t ngx_ssl_init(ngx_log_t *log) { #if OPENSSL_VERSION_NUMBER >= 0x10100003L if (OPENSSL_init_ssl(OPENSSL_INIT_LOAD_CONFIG, NULL) == 0) { ngx_ssl_error(NGX_LOG_ALERT, log, 0, "OPENSSL_init_ssl() failed"); return NGX_ERROR; } /* * OPENSSL_init_ssl() may leave errors in the error queue * while returning success */ ERR_clear_error(); #else OPENSSL_config(NULL); SSL_library_init(); SSL_load_error_strings(); OpenSSL_add_all_algorithms(); #endif #ifndef SSL_OP_NO_COMPRESSION { /* * Disable gzip compression in OpenSSL prior to 1.0.0 version, * this saves about 522K per connection. */ int n; STACK_OF(SSL_COMP) *ssl_comp_methods; ssl_comp_methods = SSL_COMP_get_compression_methods(); n = sk_SSL_COMP_num(ssl_comp_methods); while (n--) { (void) sk_SSL_COMP_pop(ssl_comp_methods); } } #endif ngx_ssl_connection_index = SSL_get_ex_new_index(0, NULL, NULL, NULL, NULL); if (ngx_ssl_connection_index == -1) { ngx_ssl_error(NGX_LOG_ALERT, log, 0, "SSL_get_ex_new_index() failed"); return NGX_ERROR; } ngx_ssl_server_conf_index = SSL_CTX_get_ex_new_index(0, NULL, NULL, NULL, NULL); if (ngx_ssl_server_conf_index == -1) { ngx_ssl_error(NGX_LOG_ALERT, log, 0, "SSL_CTX_get_ex_new_index() failed"); return NGX_ERROR; } ngx_ssl_session_cache_index = SSL_CTX_get_ex_new_index(0, NULL, NULL, NULL, NULL); if (ngx_ssl_session_cache_index == -1) { ngx_ssl_error(NGX_LOG_ALERT, log, 0, "SSL_CTX_get_ex_new_index() failed"); return NGX_ERROR; } ngx_ssl_ticket_keys_index = SSL_CTX_get_ex_new_index(0, NULL, NULL, NULL, NULL); if (ngx_ssl_ticket_keys_index == -1) { ngx_ssl_error(NGX_LOG_ALERT, log, 0, "SSL_CTX_get_ex_new_index() failed"); return NGX_ERROR; } ngx_ssl_ocsp_index = SSL_CTX_get_ex_new_index(0, NULL, NULL, NULL, NULL); if (ngx_ssl_ocsp_index == -1) { ngx_ssl_error(NGX_LOG_ALERT, log, 0, "SSL_CTX_get_ex_new_index() failed"); return NGX_ERROR; } ngx_ssl_certificate_index = SSL_CTX_get_ex_new_index(0, NULL, NULL, NULL, NULL); if (ngx_ssl_certificate_index == -1) { ngx_ssl_error(NGX_LOG_ALERT, log, 0, "SSL_CTX_get_ex_new_index() failed"); return NGX_ERROR; } ngx_ssl_next_certificate_index = X509_get_ex_new_index(0, NULL, NULL, NULL, NULL); if (ngx_ssl_next_certificate_index == -1) { ngx_ssl_error(NGX_LOG_ALERT, log, 0, "X509_get_ex_new_index() failed"); return NGX_ERROR; } ngx_ssl_certificate_name_index = X509_get_ex_new_index(0, NULL, NULL, NULL, NULL); if (ngx_ssl_certificate_name_index == -1) { ngx_ssl_error(NGX_LOG_ALERT, log, 0, "X509_get_ex_new_index() failed"); return NGX_ERROR; } ngx_ssl_stapling_index = X509_get_ex_new_index(0, NULL, NULL, NULL, NULL); if (ngx_ssl_stapling_index == -1) { ngx_ssl_error(NGX_LOG_ALERT, log, 0, "X509_get_ex_new_index() failed"); return NGX_ERROR; } return NGX_OK; }

这段代码是 Nginx 源码中用于初始化 OpenSSL 库的核心函数 ngx_ssl_init，其主要目的是为 Nginx 的 SSL/TLS 功能提供必要的初始化操作

函数的主要功能

ngx_ssl_init 函数的主要任务是：

初始化 OpenSSL 库，确保其能够正常工作。配置 SSL/TLS 相关的全局状态。注册自定义扩展索引（ex_data），以便在后续的 SSL/TLS 上下文中存储和访问 Nginx 特定的数据。

主要逻辑分析 (1) OpenSSL 库的初始化 #if OPENSSL_VERSION_NUMBER >= 0x10100003L if (OPENSSL_init_ssl(OPENSSL_INIT_LOAD_CONFIG, NULL) == 0) { ngx_ssl_error(NGX_LOG_ALERT, log, 0, "OPENSSL_init_ssl() failed"); return NGX_ERROR; } ERR_clear_error(); #else OPENSSL_config(NULL); SSL_library_init(); SSL_load_error_strings(); OpenSSL_add_all_algorithms(); #endif

条件编译：

如果 OpenSSL 版本号大于等于 0x10100003L（即 OpenSSL 1.1.0 及以上版本），使用 OPENSSL_init_ssl 函数进行初始化。对于较老的 OpenSSL 版本（低于 1.1.0），则通过一系列传统函数（如 OPENSSL_config、SSL_library_init 等）进行初始化。

新版本的初始化：

if (OPENSSL_init_ssl(OPENSSL_INIT_LOAD_CONFIG, NULL) == 0) { ngx_ssl_error(NGX_LOG_ALERT, log, 0, "OPENSSL_init_ssl() failed"); return NGX_ERROR; } ERR_clear_error(); 调用 OPENSSL_init_ssl 初始化 OpenSSL，并加载配置文件。即使 OPENSSL_init_ssl 返回成功，也可能在错误队列中留下未处理的错误信息，因此调用 ERR_clear_error 清除这些潜在的错误。

旧版本的初始化：

OPENSSL_config(NULL); SSL_library_init(); SSL_load_error_strings(); OpenSSL_add_all_algorithms(); OPENSSL_config 加载 OpenSSL 配置文件。SSL_library_init 初始化 SSL 库。SSL_load_error_strings 加载错误字符串，方便调试。OpenSSL_add_all_algorithms 注册所有加密算法。 (2) 禁用压缩（针对旧版本 OpenSSL） #ifndef SSL_OP_NO_COMPRESSION { int n; STACK_OF(SSL_COMP) *ssl_comp_methods; ssl_comp_methods = SSL_COMP_get_compression_methods(); n = sk_SSL_COMP_num(ssl_comp_methods); while (n--) { (void) sk_SSL_COMP_pop(ssl_comp_methods); } } #endif 在 OpenSSL 1.0.0 之前的版本中，没有 SSL_OP_NO_COMPRESSION 宏来禁用压缩。压缩可能导致内存消耗增加（每连接约 522KB），因此手动禁用压缩：获取当前支持的压缩方法列表。遍历并移除所有压缩方法。 (3) 创建扩展索引

Nginx 使用 OpenSSL 的扩展机制来存储自定义数据。以下是创建的几个扩展索引及其用途：

1.连接级别的扩展索引：

ngx_ssl_connection_index = SSL_get_ex_new_index(0, NULL, NULL, NULL, NULL); 用于在 SSL 连接对象中存储 Nginx 的自定义数据。

2.上下文级别的扩展索引：

ngx_ssl_server_conf_index = SSL_CTX_get_ex_new_index(0, NULL, NULL, NULL, NULL);

用于在 SSL 上下文对象中存储服务器配置信息

3.会话缓存扩展索引：

ngx_ssl_session_cache_index = SSL_CTX_get_ex_new_index(0, NULL, NULL, NULL, NULL); 用于管理 SSL 会话缓存。

4.其他扩展索引：

ngx_ssl_ticket_keys_index：用于存储会话票据密钥。

ngx_ssl_ocsp_index：用于存储 OCSP（在线证书状态协议）相关数据。

ngx_ssl_certificate_index 和 ngx_ssl_next_certificate_index：用于管理证书链。

ngx_ssl_stapling_index：用于 OCSP Stapling（证书状态绑定）。

每个扩展索引的创建都检查返回值是否为 -1，如果失败则记录错误日志并返回 NGX_ERROR

意图 1 兼容性代码通过条件编译兼容了不同版本的 OpenSSL（1.1.0 及以上版本与旧版本）。旧版本中手动禁用压缩的逻辑体现了对性能优化的关注。 2 扩展性使用 OpenSSL 的扩展机制（SSL_get_ex_new_index 和 SSL_CTX_get_ex_new_index）为 Nginx 提供了灵活的自定义数据存储能力。这些扩展索引使得 Nginx 能够在 SSL/TLS 层面上集成更多的功能（如会话缓存、OCSP Stapling 等）。 3 错误处理每个关键步骤都有详细的错误检查和日志记录。例如，OPENSSL_init_ssl 和 SSL_get_ex_new_index 等函数的返回值都被严格验证，确保初始化失败时能够及时发现问题。 4 性能优化禁用压缩是为了减少内存消耗，提升性能。通过扩展索引管理自定义数据，避免了全局变量的使用，提高了模块化程度和可维护性。详解 gcc -E src/event/ngx_event_openssl.c \ -I src/core \ -I src/event \ -I src/event/modules \ -I src/os/unix \ -I objs \ > ngx_event_openssl_preprocessed.c

使用以上命令处理条件编译

在输出文件 ngx_event_openssl_preprocessed.c 中查找 ngx_ssl_init

ngx_int_t ngx_ssl_init(ngx_log_t *log) { if (OPENSSL_init_ssl( # 148 "src/event/ngx_event_openssl.c" 3 4 0x00000040L # 148 "src/event/ngx_event_openssl.c" , # 148 "src/event/ngx_event_openssl.c" 3 4 ((void *)0) # 148 "src/event/ngx_event_openssl.c" ) == 0) { ngx_ssl_error(2, log, 0, "OPENSSL_init_ssl() failed"); return -1; } ERR_clear_error(); # 189 "src/event/ngx_event_openssl.c" ngx_ssl_connection_index = # 189 "src/event/ngx_event_openssl.c" 3 4 CRYPTO_get_ex_new_index(0, # 189 "src/event/ngx_event_openssl.c" 0 # 189 "src/event/ngx_event_openssl.c" 3 4 , ((void *)0), ((void *)0), ((void *)0), ((void *)0)) # 189 "src/event/ngx_event_openssl.c" ; if (ngx_ssl_connection_index == -1) { ngx_ssl_error(2, log, 0, "SSL_get_ex_new_index() failed"); return -1; } ngx_ssl_server_conf_index = # 196 "src/event/ngx_event_openssl.c" 3 4 CRYPTO_get_ex_new_index(1, # 196 "src/event/ngx_event_openssl.c" 0 # 196 "src/event/ngx_event_openssl.c" 3 4 , ((void *)0), ((void *)0), ((void *)0), ((void *)0)) # 197 "src/event/ngx_event_openssl.c" ; if (ngx_ssl_server_conf_index == -1) { ngx_ssl_error(2, log, 0, "SSL_CTX_get_ex_new_index() failed"); return -1; } ngx_ssl_session_cache_index = # 204 "src/event/ngx_event_openssl.c" 3 4 CRYPTO_get_ex_new_index(1, # 204 "src/event/ngx_event_openssl.c" 0 # 204 "src/event/ngx_event_openssl.c" 3 4 , ((void *)0), ((void *)0), ((void *)0), ((void *)0)) # 205 "src/event/ngx_event_openssl.c" ; if (ngx_ssl_session_cache_index == -1) { ngx_ssl_error(2, log, 0, "SSL_CTX_get_ex_new_index() failed"); return -1; } ngx_ssl_ticket_keys_index = # 212 "src/event/ngx_event_openssl.c" 3 4 CRYPTO_get_ex_new_index(1, # 212 "src/event/ngx_event_openssl.c" 0 # 212 "src/event/ngx_event_openssl.c" 3 4 , ((void *)0), ((void *)0), ((void *)0), ((void *)0)) # 213 "src/event/ngx_event_openssl.c" ; if (ngx_ssl_ticket_keys_index == -1) { ngx_ssl_error(2, log, 0, "SSL_CTX_get_ex_new_index() failed"); return -1; } ngx_ssl_ocsp_index = # 220 "src/event/ngx_event_openssl.c" 3 4 CRYPTO_get_ex_new_index(1, # 220 "src/event/ngx_event_openssl.c" 0 # 220 "src/event/ngx_event_openssl.c" 3 4 , ((void *)0), ((void *)0), ((void *)0), ((void *)0)) # 220 "src/event/ngx_event_openssl.c" ; if (ngx_ssl_ocsp_index == -1) { ngx_ssl_error(2, log, 0, "SSL_CTX_get_ex_new_index() failed"); return -1; } ngx_ssl_certificate_index = # 227 "src/event/ngx_event_openssl.c" 3 4 CRYPTO_get_ex_new_index(1, # 227 "src/event/ngx_event_openssl.c" 0 # 227 "src/event/ngx_event_openssl.c" 3 4 , ((void *)0), ((void *)0), ((void *)0), ((void *)0)) # 228 "src/event/ngx_event_openssl.c" ; if (ngx_ssl_certificate_index == -1) { ngx_ssl_error(2, log, 0, "SSL_CTX_get_ex_new_index() failed"); return -1; } ngx_ssl_next_certificate_index = # 235 "src/event/ngx_event_openssl.c" 3 4 CRYPTO_get_ex_new_index(3, # 235 "src/event/ngx_event_openssl.c" 0 # 235 "src/event/ngx_event_openssl.c" 3 4 , ((void *)0), ((void *)0), ((void *)0), ((void *)0)) # 236 "src/event/ngx_event_openssl.c" ; if (ngx_ssl_next_certificate_index == -1) { ngx_ssl_error(2, log, 0, "X509_get_ex_new_index() failed"); return -1; } ngx_ssl_certificate_name_index = # 242 "src/event/ngx_event_openssl.c" 3 4 CRYPTO_get_ex_new_index(3, # 242 "src/event/ngx_event_openssl.c" 0 # 242 "src/event/ngx_event_openssl.c" 3 4 , ((void *)0), ((void *)0), ((void *)0), ((void *)0)) # 243 "src/event/ngx_event_openssl.c" ; if (ngx_ssl_certificate_name_index == -1) { ngx_ssl_error(2, log, 0, "X509_get_ex_new_index() failed"); return -1; } ngx_ssl_stapling_index = # 250 "src/event/ngx_event_openssl.c" 3 4 CRYPTO_get_ex_new_index(3, # 250 "src/event/ngx_event_openssl.c" 0 # 250 "src/event/ngx_event_openssl.c" 3 4 , ((void *)0), ((void *)0), ((void *)0), ((void *)0)) # 250 "src/event/ngx_event_openssl.c" ; if (ngx_ssl_stapling_index == -1) { ngx_ssl_error(2, log, 0, "X509_get_ex_new_index() failed"); return -1; } return 0; }

可以看出

新版本的初始化

if (OPENSSL_init_ssl(OPENSSL_INIT_LOAD_CONFIG, NULL) == 0) { ngx_ssl_error(NGX_LOG_ALERT, log, 0, "OPENSSL_init_ssl() failed"); return NGX_ERROR; } ERR_clear_error();

这个分支成立

在 Ubuntu 环境下使用：

openssl version

也可以查看 openssl 的版本

可以知道我这里属于 OpenSSL 1.1.0 及以上版本

OPENSSL_init_ssl

在 OpenSSL 1.1.0 及以上版本中，OPENSSL_init_ssl 函数的声明位于以下头文件中：

#include <openssl/ssl.h>

OPENSSL_init_ssl 是 OpenSSL 1.1.0 引入的一个函数，用于初始化 SSL/TLS 库。它的主要作用是替代旧版本中多个独立的初始化函数（如 SSL_library_init、SSL_load_error_strings 等），提供一个统一的接口来完成 SSL/TLS 的初始化工作。

函数原型如下：

int OPENSSL_init_ssl(uint64_t opts, const OPENSSL_INIT_SETTINGS *settings);

opts ：

这是一个位掩码参数，用于指定初始化选项。常见的选项包括： OPENSSL_INIT_LOAD_CONFIG：加载 OpenSSL 配置文件（通常是 openssl f）。OPENSSL_INIT_LOAD_SSL_STRINGS：加载 SSL/TLS 相关的错误字符串。OPENSSL_INIT_ADD_ALL_CIPHERS 和 OPENSSL_INIT_ADD_ALL_DIGESTS：注册所有加密算法和摘要算法。OPENSSL_INIT_NO_LOAD_CONFIG：禁用配置文件加载。更多选项可以参考 OpenSSL 文档。

settings ：

这是一个指向 OPENSSL_INIT_SETTINGS 结构的指针，用于传递更高级的初始化设置。在大多数情况下，可以传入 NULL，表示使用默认设置。 2.3 返回值成功时返回 1。失败时返回 0。

需要注意的是，即使 OPENSSL_init_ssl 返回成功，也可能在错误队列中留下未处理的错误信息。

因此，通常会在调用后清除错误队列：

ERR_clear_error();

ngx_ssl_error

Ubuntu 下 nginx-1.24.0 源码分析 -ngx_ssl_error 函数-CSDN博客

NGX_ERROR

定义在 src/core/ngx_core.h 中

#define NGX_OK 0 #define NGX_ERROR -1

初始化失败，函数返回 -1

ERR_clear_error

OpenSSL 使用一个线程安全的错误队列来记录操作过程中发生的错误信息。这些错误信息可以通过以下函数访问：

ERR_get_error()：从错误队列中获取一个错误代码。ERR_peek_error()：查看错误队列中的第一个错误代码，但不移除它。ERR_clear_error()：清空当前线程的错误队列。

ERR_clear_error() 的主要作用是清空当前线程的错误队列。具体来说：

它会移除所有当前线程中累积的错误信息。调用后，错误队列将变为空状态。

在多线程环境中，每个线程都有独立的错误队列，因此调用 ERR_clear_error() 不会影响其他线程的错误状态

通过调用 ERR_clear_error()，可以确保错误队列在初始化完成后处于干净的状态。这样，后续的 OpenSSL 操作如果产生错误，错误队列中的信息将是与当前操作直接相关的，而不是之前残留的无关错误

ngx_ssl_connection_index

ngx_ssl_connection_index 是一个全局变量，

它的作用是为每个 SSL 连接分配一个唯一的索引值。

这个索引值用于在 OpenSSL 的 SSL 结构体中存储和检索与该连接相关的自定义数据。

ngx_ssl_connection_index 是通过调用 SSL_get_ex_new_index() 创建的一个全局索引值

为每个 SSL 连接关联 Nginx 的特定数据：

在 Nginx 中，每个 SSL 连接都需要存储一些与 Nginx 相关的上下文信息（例如连接对象、会话状态等）。通过 ngx_ssl_connection_index，可以将这些数据存储到 OpenSSL 的 SSL 结构体中，并在需要时快速检索。

避免全局变量或复杂的数据结构：

如果没有扩展数据机制，Nginx 可能需要维护一个额外的映射表（例如哈希表或链表）来管理 SSL 连接和 Nginx 数据之间的关系。使用 ngx_ssl_connection_index，可以直接将数据附加到 SSL 结构体中，简化了数据管理。

SSL 连接

SSL 连接-CSDN博客

SSL 结构体中的扩展数据数组（ex_data）不仅仅用于存储用户自定义数据，它还可以被 OpenSSL 内部或其他模块使用。

ngx_ssl_connection_index 是通过 SSL_get_ex_new_index() 分配的一个索引值，指向数组中某个特定的位置，而该位置之前的内容可能已经被其他模块或 OpenSSL 内部使用

该位置是用户自定义数据

SSL 结构体中的扩展数据数组是一个固定大小的数组

void *ex_data[SSL_MAX_EX_DATA]; SSL_MAX_EX_DATA ：表示数组的最大长度，通常是 32 或更大的一个固定值。每个数组元素是一个指针，可以存储任意类型的数据数组的每个槽位由一个整数索引标识。索引值从 0 开始，依次递增。不同的模块或功能可以通过调用 SSL_get_ex_new_index() 分配自己的索引值，并将数据存储到对应的槽位中

SSL_CTX_get_ex_new_index

SSL_CTX_get_ex_new_index() 用于为 SSL_CTX（SSL 上下文）结构体分配一个扩展数据索引。它的主要作用是：

在 SSL_CTX 中存储自定义数据：例如全局配置、证书链、私钥等。支持模块化设计：允许不同模块将自定义数据附加到 SSL_CTX 中，而无需修改 OpenSSL 的内部实现返回值成功时返回一个非负整数，表示新分配的索引值。失败时返回 -1。

SSL_get_ex_new_index 的作用

SSL_get_ex_new_index() 用于为 SSL（SSL 连接）结构体分配一个扩展数据索引。它的主要作用是：

在 SSL 中存储自定义数据：例如每个连接的上下文信息。支持连接级别的扩展数据管理：允许开发者为每个 SSL 连接附加独立的数据返回值成功时返回一个非负整数，表示新分配的索引值。失败时返回 -1。

两者的区别

特性

SSL_CTX_get_ex_new_index

SSL_get_ex_new_index

目标结构体

SSL_CTX（SSL 上下文）

SSL（SSL 连接）

数据范围

全局数据，适用于所有 SSL 连接

每个连接独立的数据

典型用途

存储服务器配置、证书链、会话缓存等全局信息

存储每个连接的上下文信息（如 Nginx 的连接对象）

生命周期

与SSL_CTX生命周期一致

与单个SSL实例的生命周期一致

分配的索引值是否共享

不同模块可以分配独立的索引值

SSL_CTX_get_ex_new_index ：用于为 SSL_CTX 分配扩展数据索引，适用于存储全局数据（如服务器配置）。SSL_get_ex_new_index ：用于为 SSL 分配扩展数据索引，适用于存储每个连接的独立数据（如连接上下文）。核心区别：两者的目标结构体不同，分别对应全局的 SSL_CTX 和每个连接的 SSL。 X509_get_ex_new_index

X509_get_ex_new_index() 是 OpenSSL 提供的一个函数，用于为 X509（证书）结构体分配扩展数据索引。它的主要作用是：

在 X509 结构体中存储自定义数据：例如与证书相关的上下文信息或元数据。支持模块化设计：允许不同模块将自定义数据附加到 X509 证书对象中，而无需修改 OpenSSL 的内部实现

返回值成功时返回一个非负整数，表示新分配的索引值。失败时返回 -1。

X509 是 OpenSSL 库中用于表示数字证书的核心数据结构。它在 SSL/TLS 协议中扮演着至关重要的角色，主要用于身份验证、加密和信任链的建立

数字证书的核心概念

数字证书是一种电子文档，用于证明某个实体（如服务器或客户端）的身份，并包含该实体的公钥。数字证书通常由受信任的第三方机构（称为证书颁发机构，CA ）签发。

数字证书的主要内容主体信息（Subject）：证书持有者的身份信息（如域名、组织名称等）。公钥（Public Key）：证书持有者的公钥。签发者信息（Issuer）：签发证书的 CA 的身份信息。有效期（Validity Period）：证书的有效时间范围。签名（Signature）：CA 使用其私钥对证书内容进行签名，以确保证书的完整性和真实性

X509 结构体的作用

在 OpenSSL 中，X509 是一个复杂的数据结构，用于表示和操作数字证书。它的主要作用包括以下几个方面：

1. 身份验证在 SSL/TLS 握手过程中，服务器会向客户端发送其数字证书（X509 对象），以证明自己的身份。客户端通过验证证书的签名和有效期，确认服务器是否可信。 2. 公钥分发数字证书中包含了服务器的公钥，客户端可以使用该公钥与服务器进行加密通信。例如，在 RSA 密钥交换中，客户端使用服务器的公钥加密预主密钥（Pre-Master Secret）。 3. 建立信任链数字证书通常形成一个信任链（Certificate Chain），从服务器证书到根证书。X509 提供了操作证书链的功能，例如验证证书链的完整性。 4. OCSP 和 CRL 验证 X509 支持在线证书状态协议（OCSP）和证书吊销列表（CRL），用于检查证书是否已被吊销。

数字证书在逻辑上和现实中的证件（如身份证、护照或驾照）非常相似。它们的作用都是用来证明某个实体的身份，并且依赖于一个可信的第三方机构来验证和签发

数字证书与现实证件的核心功能对比

功能

现实中的证件（如身份证）

数字证书

身份证明

证明持证人的身份（如姓名、照片、出生日期等）。

证明某个实体（如服务器或客户端）的身份。

签发机构

由政府或权威机构签发（如公安局）。

由受信任的 CA（证书颁发机构）签发。

有效期

证件有明确的有效期（如 10 年）。

证书有明确的有效期（如 1 年）。

防伪机制

使用防伪技术（如水印、芯片）防止伪造。

使用加密算法（如签名）防止篡改和伪造。

信任链

公众信任签发机构（如政府），从而信任证件。

用户信任 CA，从而信任其签发的证书。

类比：现实中的身份证 vs 数字证书 1. 身份证明现实中的身份证：身份证上的信息（如姓名、照片、身份证号）用于证明持证人的身份。当你出示身份证时，其他人可以通过检查这些信息确认你是谁。数字证书：数字证书中的信息（如主体名称、公钥）用于证明某个实体的身份。当服务器向客户端发送证书时，客户端可以通过检查证书内容确认服务器的身份。 2. 签发机构现实中的身份证：身份证由政府机构（如公安局）签发，公众信任政府，因此也信任身份证的真实性。数字证书：数字证书由受信任的 CA（如 Let's Encrypt、DigiCert）签发，用户信任 CA，因此也信任其签发的证书。 3. 防伪机制现实中的身份证：身份证可能包含防伪技术，例如水印、全息图或芯片，以防止伪造。数字证书：数字证书使用加密算法（如 RSA 或 ECC）生成签名，CA 使用其私钥对证书内容进行签名，确保证书未被篡改。 4. 有效期现实中的身份证：身份证通常有一个有效期（如 10 年），过期后需要重新申请。数字证书：数字证书也有一个有效期（如 1 年或 2 年），过期后需要续签或重新申请。 5. 信任链现实中的身份证：公众信任签发机构（如政府），因此信任其签发的身份证。如果有人伪造身份证，公众可以通过查询政府数据库验证其真实性。数字证书：用户信任 CA，因此信任其签发的证书。如果证书被篡改或吊销，用户可以通过 CRL（证书吊销列表）或 OCSP（在线证书状态协议）验证其状态。

标签：

Ubuntu下nginx-1.24.0源码分析-ngx_ssl_init函数由讯客互联游戏开发栏目发布，感谢您对讯客互联的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人网站或者朋友圈，但转载请说明文章出处“Ubuntu下nginx-1.24.0源码分析-ngx_ssl_init函数”

上一篇
深入理解MQTT协议：物联网通信的核心