Re: Как записать ключи pre-master от tls-соединений, обрабатываемых nginx?

Pavel balroga3 на yandex.ru
Вт Сен 3 09:42:15 UTC 2019


Здравствуйте.

> Hello!
>
> On Tue, Aug 27, 2019 at 11:50:18PM +0300, Pavel wrote:
>
>> Мы  состоим  в  реестре  организаторов  распространения  информации  и
>> поэтому обязаны предоставлять в надзорный орган ключи tls сессий.
>> 
>> Для  таких случаев существует механизм по перехвату вызовов библиотеки
>> openssl: https://git.lekensteyn.nl/peter/wireshark-notes/tree/src/
>> Суть  простая - перед запуском демона, обрабатывающего TLS-соединения
>> клиентов,   через   LD_PRELOAD   подгружается  эта  библиотека  и  она
>> сбрасывает в текстовый файл, указанный в переменой SSLKEYLOGFILE, ключи pre-master.
>> 
>> Эта  схема  срабатывает с апачем, но с энжинксом ключи не пишутся. Нет
>> ли  идей  или подсказок из-за чего это может быть и как вообще  можно записать
>> эти самые pre-master keys в энжинксе?
>
> [...]
>
>> [Service]
>> Environment=SSLKEYLOGFILE=/tmp/premaster.txt
>> Environment=LD_PRELOAD=/usr/local/lib/libsslkeylog.so
>
> [...]
>
>> но  тем  не  менее  ключи  в файл при обращении к энжинксу по https не
>> пишутся.
>
> Скорее всего причина в том, что переменные                 
> окружения очищаются при запуске, подробнее тут:
>
> http://nginx.org/r/env
>

Огромное спасибо!

Ключи начали записываться когда добавил в nginx.conf
env LD_PRELOAD=/usr/local/lib/libsslkeylog.so;
env SSLKEYLOGFILE=/tmp/premaster.txt;




Подробная информация о списке рассылки nginx-ru