安裝 nginx
成都地區(qū)優(yōu)秀IDC服務(wù)器托管提供商(成都創(chuàng)新互聯(lián)).為客戶(hù)提供專(zhuān)業(yè)的綿陽(yáng)主機(jī)托管,四川各地服務(wù)器托管,綿陽(yáng)主機(jī)托管����、多線(xiàn)服務(wù)器托管.托管咨詢(xún)專(zhuān)線(xiàn):13518219792
有可能你當(dāng)前已經(jīng)通過(guò) apt-get yum 等命令安裝了����,但是可能不支持 https http2 ipv6 等功能。
查看當(dāng)前版本配置
我們可以通過(guò) nginx -V 命令來(lái)查看版本以及支持的配置����。
下面這以 ubuntu 為例,卸載安裝 nginx
卸載
- # 移除 nginx
- $ apt-get --purge remove nginx
- # 查詢(xún) nginx 依賴(lài)的包��,會(huì)列出來(lái)
- $ dpkg --get-selections|grep nginx
- # 移除上面列出的包�����,例如 nginx-common
- $ apt-get --purge remove nginx-common
- # 也可以執(zhí)行 autoremove �����,會(huì)自動(dòng)刪除不需要的包
- $ apt-get autoremove
- # 查詢(xún) nginx 相關(guān)的文件�����,刪掉就可以了
- $ sudo find / -name nginx*
安裝
- 安裝依賴(lài)庫(kù)
- # gcc g++
- apt-get install build-essential
- apt-get install libtool
- # pcre
- sudo apt-get install libpcre3 libpcre3-dev
- # zlib
- apt-get install zlib1g-dev
- # ssl
- apt-get install openssl
- apt-get install libssl-dev
安裝 nginx
到 nginx download 上找到最新的nginx 版本
- # 下載
- $ wget https://nginx.org/download/nginx-1.17.8.tar.gz
- # 解壓
- $ tar -zxvf nginx-1.17.8.tar.gz
- # 進(jìn)入目錄
- $ cd nginx-1.17.8
- # 配置�,這里可能會(huì)報(bào)錯(cuò),缺少啥就去安裝啥
- $ ./configure --prefix=/usr/local/nginx \
- --with-http_gzip_static_module \
- --with-http_v2_module \
- --with-pcre \
- --with-http_ssl_module
# 編譯����,這里可能會(huì)報(bào)錯(cuò)�����,缺少啥就去安裝啥
- $ make
# 安裝
- $ make install
# 通過(guò)軟連接�����,這樣就可以直接使用 nginx 執(zhí)行
- sudo ln -s /usr/local/nginx/sbin/nginx /usr/bin/nginx
SSL 證書(shū)
SSL 證書(shū)通常需要購(gòu)買(mǎi)���,也有免費(fèi)的�����,通過(guò)第三方 SSL 證書(shū)機(jī)構(gòu)頒發(fā)�。你也可以在云服務(wù)商上購(gòu)買(mǎi),但是一般免費(fèi)的 ssl 證書(shū)只能支持單個(gè)域名����。
這里推薦 Let’s Encrypt 機(jī)構(gòu),然后使用 acme.sh 從 letsencrypt 生成免費(fèi)的證書(shū)�,且可以生成泛域名證書(shū)。
參考 acme.sh 中文 wiki ��、使用 acme.sh 部署 Let's Encrypt 通過(guò)阿里云 DNS 驗(yàn)證方式實(shí)現(xiàn)泛域名 HTTPS
上面的兩篇文章講的很詳細(xì)了�,不再贅述���。
PS:
- 建議使用 DNS 驗(yàn)證
- --dns dns_ali 是根據(jù)不同服務(wù)商來(lái)的,dns_ali 就是指阿里云���。其他服務(wù)商的參考 How to use DNS API ���。
- 證書(shū)生成后,默認(rèn)在 ~/.acme.sh/ 目錄下����,這里的文件是內(nèi)部使用的,需要使用 --installcert 命令指定到目標(biāo)位置
這里將證書(shū)放到了 nginx 的 conf 目錄下��。.../conf/ssl/...
配置 http
http 基礎(chǔ)配置
http 的配置很簡(jiǎn)單�����,配置如下�,我們先讓網(wǎng)站可以訪(fǎng)問(wèn)起來(lái)。
- server {
- listen 80;
- server_name wangsijie.top www.wangsijie.top;
- location / {
- root /var/www/main;
- index index.html;
- }
- }
使用 http://訪(fǎng)問(wèn)����,就會(huì)如下顯示
配置 https
Https 基礎(chǔ)配置
- server {
- listen 443 ssl;
- server_name wangsijie.top www.wangsijie.top;
- # 證書(shū)文件,這里使用了 fullchain.cer 通過(guò) acme.sh 生成的泛域名證書(shū)
- ssl_certificate ssl/fullchain.cer;
- # 私鑰文件
- ssl_certificate_key ssl/wangsijie.top.key;
- location / {
- root /var/www/main;
- index index.html;
- }
- }
重啟后,以 https:// 開(kāi)頭訪(fǎng)問(wèn)你的網(wǎng)站��,就會(huì)發(fā)現(xiàn)
修改 http 配置
但是用 http:// 訪(fǎng)問(wèn)����,仍舊顯示連接不安全,我們需要修改配置��,當(dāng)訪(fǎng)問(wèn) http 時(shí)會(huì)重定向到 https 如下
- server {
- listen 80;
- server_name wangsijie.top www.wangsijie.top;
- return 301 https://$server_name$request_uri;
- }
這時(shí)再用 http:// 訪(fǎng)問(wèn)���,就會(huì)重定向到 https://
PS:
網(wǎng)上也有許多使用 rewrite 來(lái)重定向�,但是 return 指令簡(jiǎn)單高效�,建議盡量使用 return
完整配置
- server {
- listen 80;
- server_name wangsijie.top www.wangsijie.top;
- return 301 https://$server_name$request_uri;
- }
- server {
- listen 443 ssl;
- server_name wangsijie.top www.wangsijie.top;
- ssl_certificate ssl/fullchain.cer;
- ssl_certificate_key ssl/wangsijie.top.key;
- location / {
- root /var/www/main;
- index index.html;
- }
- }
混合配置
- server {
- listen 80;
- listen 443 ssl;
- server_name wangsijie.top www.wangsijie.top;
- ssl_certificate ssl/fullchain.cer;
- ssl_certificate_key ssl/wangsijie.top.key;
- location / {
- root /var/www/main;
- index index.html;
- }
- }
https 安全
加密套件
https 默認(rèn)采用 SHA-1 算法,非常脆弱�����。我們可以使用迪菲-赫爾曼密鑰交換���。
我們?cè)?/conf/ssl 目錄下生成 dhparam.pem 文件
- openssl dhparam -out dhparam.pem 2048
下面的指令 ssl_protocols 和 ssl_ciphers 是用來(lái)限制連接只包含 SSL/TLS 的加強(qiáng)版本和算法。
- # 優(yōu)先采取服務(wù)器算法
- ssl_prefer_server_ciphers on;
- # 使用 DH 文件
- ssl_dhparam ssl/dhparam.pem;
- # 協(xié)議版本
- ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
- # 定義算法
- ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
- 復(fù)制代碼
- 安全的響應(yīng)頭# 啟用 HSTS ���。允許 https 網(wǎng)站要求瀏覽器總是通過(guò) https 來(lái)訪(fǎng)問(wèn)
- add_header Strict-Transport-Security "max-age=31536000; includeSubDomains;preload" always;
- # 減少點(diǎn)擊劫持
- add_header X-Frame-Options DENY;
- # 禁止服務(wù)器自動(dòng)解析資源類(lèi)型
- add_header X-Content-Type-Options nosniff;
- # 防XSS攻擊
- add_header X-Xss-Protection 1;
- 復(fù)制代碼
- 服務(wù)器優(yōu)化# 配置共享會(huì)話(huà)緩存大小
- ssl_session_cache shared:SSL:10m;
- # 配置會(huì)話(huà)超時(shí)時(shí)間
- ssl_session_timeout 10m;
- 復(fù)制代碼
- http2 配置
- http2 配置很簡(jiǎn)單�����,只要后面增加 http2����。
- 下面 [::]: 表示 ipv6 的配置,不需要可以不加那一行l(wèi)isten 80;
- listen [::]:80;
- listen 443 ssl http2;
- listen [::]:443 ssl http2;
重啟 nginx 后�����,你可以在這個(gè)網(wǎng)站上 tools.keycdn.com/http2-test 測(cè)試http2有沒(méi)有配置成功����。
最后
完整配置
- server {
- listen 80;
- listen [::]:80;
- listen 443 ssl http2;
- listen [::]:443 ssl http2;
- server_name wangsijie.top www.wangsijie.top;
- ssl_certificate ssl/fullchain.cer;
- ssl_certificate_key ssl/wangsijie.top.key;
- ssl_session_cache shared:SSL:10m;
- ssl_session_timeout 10m;
- ssl_prefer_server_ciphers on;
- ssl_dhparam ssl/dhparam.pem;
- ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
- ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
- add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
- add_header X-Frame-Options DENY;
- add_header X-Content-Type-Options nosniff;
- add_header X-Xss-Protection 1;
- location / {
- root /var/www/main;
- index index.html;
- }
- }
配置文件優(yōu)化
為了讓更多的二級(jí)域名支持上面的功能,每個(gè) server 都這么寫(xiě)太過(guò)于繁瑣��。
可以將 listen 443 �、ssl、add_header 相關(guān)的單獨(dú)寫(xiě)在一個(gè)文件上����,然后使用 inculde 指令。
如下:其他的配置都放在了conf.d/https-base.conf中
- server {
- listen 8099;
- listen [::]:8099;
- server_name test.wangsijie.top;
- include conf.d/https-base.conf;
- location / {
- root /var/www/test;
- index index.html;
- }
- }
新聞名稱(chēng):Nginx配置Https零基礎(chǔ)教程
文章鏈接:
http://uogjgqi.cn/article/djogjgd.html
