标签：nginx webserver openssl encryption

我有一个小型嵌入式Linux设备,有128 MB闪存存储可用作暂存器.该设备运行NGINX Web服务器.为了进行固件更新 – 系统通过NGINX将加密的二进制文件作为HTTPS POST接收到暂存器.然后系统解密文件并闪烁不同的QSPI闪存设备以完成更新.

固件二进制文件在设备外部加密,如下所示：

openssl smime -encrypt -binary -aes-256-cbc -in plainfile.zip -out encrypted.zip.enc -outform DER yourSslCertificate.pem

固件二进制文件在通过NGINX接收后,在设备上解密,如下所示：

openssl smime -decrypt -binary -in encrypted.zip.enc -inform DER -out decrypted.zip -inkey private.key -passin pass:your_password

我真的很喜欢通过NGINX接收(动态)接收二进制文件,因此它以闪存的暂存器上的解密形式出现.

我一直无法在Google上找到任何现有的NGINX模块.我怎么能做到这一点？谢谢.

解决方法:

首先,你需要了解一件事.虽然nginx将解密文件 – 所有其他请求将被阻止.这就是为什么nginx不支持CGI,只支持FastCGI.

如果你没问题(例如,nginx仅用于更新目的),你可以使用perl或lua扩展名：http://nginx.org/en/docs/http/ngx_http_perl_module.html,https://github.com/openresty/lua-nginx-module

使用这个模块你可以执行shell.对于访问上传文件,需要设置client_body_in_file_only指令 – https://nginx.org/en/docs/http/ngx_http_core_module.html#client_body_in_file_only

perl模块的示例(未经测试)：

location /upload {
  client_body_in_file_only clean;
  perl 'sub {
    my $r = shift;
    if ($r->request_body_file) {
       system("openssl smime -decrypt -binary -in ".$r->request_body_file." -inform DER -out /tmp/decrypted.zip -inkey private.key -passin pass:your_password");
    }
  }';
}

但使用fastcgi要好得多.您可以使用light fastcgi wraper,例如fcgiwrap https://www.nginx.com/resources/wiki/start/topics/examples/fcgiwrap/

标签：nginx,webserver,openssl,encryption
来源： https://codeday.me/bug/20190623/1266338.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。