haproxy集成国密ssl功能
1. 概述
1.1 缘起
haproxy作为开源高性能http/tcp代理服务器得到了广泛应用,它可以支持国际ssl加密通信功能,但是对于国密ssl却一直没有被官方得到支持。随着国密标准规范的推广应用,以及等保2.0明确规定要求对网络通信中的报文或会话过程全文加密(三级),这样导致在haproxy在国内的很多业务场景中不符合等保要求而不能使用。因此有必要对haproxy进行国密ssl功能支持进行改造。
铜锁/Tongsuo是由阿里巴巴基于openssl,衍生开发并开源的同时提供国际ssl和国密ssl的一个提供现代密码学算法和安全通信协议的开源基础密码库,为存储、网络、密钥管理、隐私计算等诸多业务场景提供底层的密码学基础能力,实现数据在传输、使用、存储等过程中的私密性、完整性和可认证性,为数据生命周期中的隐私和安全提供保护能力。
本文描述了基于洞锁加密库,为haproxy添加国密ssl的加密传输能力。
1.2 支持的特性
- 支持ntls v1.1 国密ssl 协议
- 支持监听器国密ssl握手协议
- 支持作为上游服务器的客户端进行国密ssl握手
- 支持国际和国密双证书配置
2 环境搭建
2.1 测试环境准备
为了支持测试国密测试,首先需要准备测试的客户端工具和web服务器。
-
测试工具:支持国密ssl的curl
国密curl下载链接
直接下载linux版本的二进制文件,经测试在ubuntu 22.04中直接可以用。 -
支持国密ssl的nginx web服务器
国密nginx下载链接
从以上地址下载源码后根据文档自行编译部署。
最新版本的tengine需要修改一下configure:
./configure --prefix=/opt/nginx \--add-module=modules/ngx_tongsuo_ntls \