日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

安裝 nginx

成都地區(qū)優(yōu)秀IDC服務(wù)器托管提供商(成都創(chuàng)新互聯(lián)).為客戶提供專業(yè)的綿陽主機托管,四川各地服務(wù)器托管,綿陽主機托管、多線服務(wù)器托管.托管咨詢專線：13518219792

有可能你當(dāng)前已經(jīng)通過 apt-get yum 等命令安裝了，但是可能不支持 https http2 ipv6 等功能。

查看當(dāng)前版本配置

我們可以通過 nginx -V 命令來查看版本以及支持的配置。

下面這以 ubuntu 為例，卸載安裝 nginx

卸載

 
 
 
 

  
  
  
  
# 移除 nginx 
  
  
  
  
$ apt-get --purge remove nginx 
  
  
  
  
# 查詢 nginx 依賴的包，會列出來 
  
  
  
  
$ dpkg --get-selections|grep nginx 
  
  
  
  
# 移除上面列出的包，例如 nginx-common 
  
  
  
  
$ apt-get --purge remove nginx-common
  
  
  
  
# 也可以執(zhí)行 autoremove ，會自動刪除不需要的包 
  
  
  
  
$ apt-get autoremove 
  
  
  
  
# 查詢 nginx 相關(guān)的文件，刪掉就可以了 
  
  
  
  
$ sudo find / -name nginx*
 
 
 
 

安裝

 
 
 
 

  
  
  
  
安裝依賴庫 
  
  
  
  
# gcc g++ 
  
  
  
  
apt-get install build-essential 
  
  
  
  
apt-get install libtool 
  
  
  
  
# pcre 
  
  
  
  
sudo apt-get install libpcre3 libpcre3-dev 
  
  
  
  
# zlib 
  
  
  
  
apt-get install zlib1g-dev 
  
  
  
  
# ssl 
  
  
  
  
apt-get install openssl 
  
  
  
  
apt-get install libssl-dev
 
 
 
 

安裝 nginx

到 nginx download 上找到最新的nginx 版本

 
 
 
 

  
  
  
  
# 下載 
  
  
  
  
$ wget https://nginx.org/download/nginx-1.17.8.tar.gz 
  
  
  
  
# 解壓 
  
  
  
  
$ tar -zxvf nginx-1.17.8.tar.gz 
  
  
  
  
# 進入目錄 
  
  
  
  
$ cd nginx-1.17.8 
  
  
  
  
# 配置，這里可能會報錯，缺少啥就去安裝啥 
  
  
  
  
$ ./configure --prefix=/usr/local/nginx \ 
  
  
  
  
--with-http_gzip_static_module \ 
  
  
  
  
--with-http_v2_module \ 
  
  
  
  
--with-pcre \ 
  
  
  
  
--with-http_ssl_module
 
 
 
 

# 編譯，這里可能會報錯，缺少啥就去安裝啥

 
 
 
 

  
  
  
  
$ make
 
 
 
 

# 安裝

 
 
 
 

  
  
  
  
$ make install
 
 
 
 

# 通過軟連接，這樣就可以直接使用 nginx 執(zhí)行

 
 
 
 

  
  
  
  
sudo ln -s /usr/local/nginx/sbin/nginx /usr/bin/nginx
 
 
 
 

SSL 證書

SSL 證書通常需要購買，也有免費的，通過第三方 SSL 證書機構(gòu)頒發(fā)。你也可以在云服務(wù)商上購買，但是一般免費的 ssl 證書只能支持單個域名。

這里推薦 Let’s Encrypt 機構(gòu)，然后使用 acme.sh 從 letsencrypt 生成免費的證書，且可以生成泛域名證書。

參考 acme.sh 中文 wiki 、使用 acme.sh 部署 Let's Encrypt 通過阿里云 DNS 驗證方式實現(xiàn)泛域名 HTTPS

上面的兩篇文章講的很詳細了，不再贅述。

PS：

•  建議使用 DNS 驗證
•  --dns dns_ali  是根據(jù)不同服務(wù)商來的，dns_ali 就是指阿里云。其他服務(wù)商的參考 How to use DNS API 。
•  證書生成后，默認在 ~/.acme.sh/ 目錄下，這里的文件是內(nèi)部使用的，需要使用 --installcert 命令指定到目標位置

這里將證書放到了 nginx 的 conf 目錄下。.../conf/ssl/...

配置 http

http 基礎(chǔ)配置

http 的配置很簡單，配置如下，我們先讓網(wǎng)站可以訪問起來。

 
 
 
 

  
  
  
  
server { 
  
  
  
  
    listen  80; 
  
  
  
  
    server_name     wangsijie.top www.wangsijie.top; 
  
  
  
  
    location / { 
  
  
  
  
        root /var/www/main; 
  
  
  
  
        index index.html; 
  
  
  
  
    }
  
  
  
  
}
 
 
 
 

使用 http://訪問，就會如下顯示

配置 https

Https 基礎(chǔ)配置

 
 
 
 

  
  
  
  
server { 
  
  
  
  
    listen                  443 ssl; 
  
  
  
  
    server_name             wangsijie.top www.wangsijie.top; 
  
  
  
  
    # 證書文件，這里使用了 fullchain.cer 通過 acme.sh 生成的泛域名證書 
  
  
  
  
    ssl_certificate         ssl/fullchain.cer; 
  
  
  
  
    # 私鑰文件 
  
  
  
  
    ssl_certificate_key     ssl/wangsijie.top.key; 
  
  
  
  
    location / { 
  
  
  
  
        root /var/www/main; 
  
  
  
  
        index index.html; 
  
  
  
  
  } 
  
  
  
  
}
 
 
 
 

重啟后，以 https:// 開頭訪問你的網(wǎng)站，就會發(fā)現(xiàn)

修改 http 配置

但是用 http:// 訪問，仍舊顯示連接不安全，我們需要修改配置，當(dāng)訪問 http 時會重定向到 https 如下

 
 
 
 

  
  
  
  
server { 
  
  
  
  
    listen  80; 
  
  
  
  
    server_name     wangsijie.top www.wangsijie.top; 
  
  
  
  
    return  301 https://$server_name$request_uri; 
  
  
  
  
}
 
 
 
 

這時再用 http:// 訪問，就會重定向到 https://

PS:

網(wǎng)上也有許多使用 rewrite 來重定向，但是 return 指令簡單高效，建議盡量使用 return

完整配置

 
 
 
 

  
  
  
  
server { 
  
  
  
  
    listen  80; 
  
  
  
  
    server_name     wangsijie.top www.wangsijie.top; 
  
  
  
  
    return  301 https://$server_name$request_uri; 
  
  
  
  
} 
  
  
  
  
server { 
  
  
  
  
    listen                  443 ssl; 
  
  
  
  
    server_name             wangsijie.top www.wangsijie.top; 
  
  
  
  
    ssl_certificate         ssl/fullchain.cer; 
  
  
  
  
    ssl_certificate_key     ssl/wangsijie.top.key; 
  
  
  
  
    location / { 
  
  
  
  
        root /var/www/main; 
  
  
  
  
        index index.html; 
  
  
  
  
  } 
  
  
  
  
}
 
 
 
 

混合配置

 
 
 
 

  
  
  
  
server { 
  
  
  
  
    listen          80; 
  
  
  
  
    listen                  443 ssl; 
  
  
  
  
    server_name             wangsijie.top www.wangsijie.top; 
  
  
  
  
    ssl_certificate         ssl/fullchain.cer;
  
  
  
  
     ssl_certificate_key     ssl/wangsijie.top.key; 
  
  
  
  
    location / { 
  
  
  
  
        root /var/www/main; 
  
  
  
  
        index index.html; 
  
  
  
  
  } 
  
  
  
  
}
 
 
 
 

https 安全

加密套件

https 默認采用 SHA-1 算法，非常脆弱。我們可以使用迪菲-赫爾曼密鑰交換。

我們在 /conf/ssl 目錄下生成 dhparam.pem 文件

 
 
 
 

  
  
  
  
openssl dhparam -out dhparam.pem 2048
 
 
 
 

下面的指令 ssl_protocols 和 ssl_ciphers 是用來限制連接只包含 SSL/TLS 的加強版本和算法。

 
 
 
 

  
  
  
  
# 優(yōu)先采取服務(wù)器算法 
  
  
  
  
ssl_prefer_server_ciphers on; 
  
  
  
  
# 使用 DH 文件 
  
  
  
  
ssl_dhparam       ssl/dhparam.pem;
  
  
  
  
# 協(xié)議版本 
  
  
  
  
ssl_protocols           TLSv1 TLSv1.1 TLSv1.2; 
  
  
  
  
# 定義算法 
  
  
  
  
ssl_ciphers      EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5; 
  
  
  
  
復(fù)制代碼 
  
  
  
  
安全的響應(yīng)頭# 啟用 HSTS 。允許 https 網(wǎng)站要求瀏覽器總是通過 https 來訪問 
  
  
  
  
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains;preload" always; 
  
  
  
  
# 減少點擊劫持 
  
  
  
  
add_header X-Frame-Options DENY; 
  
  
  
  
# 禁止服務(wù)器自動解析資源類型 
  
  
  
  
add_header X-Content-Type-Options nosniff; 
  
  
  
  
# 防XSS攻擊 
  
  
  
  
add_header X-Xss-Protection 1; 
  
  
  
  
復(fù)制代碼 
  
  
  
  
服務(wù)器優(yōu)化# 配置共享會話緩存大小 
  
  
  
  
ssl_session_cache   shared:SSL:10m; 
  
  
  
  
# 配置會話超時時間 
  
  
  
  
ssl_session_timeout 10m; 
  
  
  
  
復(fù)制代碼 
  
  
  
  
http2 配置 
  
  
  
  
http2 配置很簡單，只要后面增加 http2。 
  
  
  
  
下面 [::]: 表示 ipv6 的配置，不需要可以不加那一行l(wèi)isten  80; 
  
  
  
  
listen  [::]:80; 
  
  
  
  
listen  443 ssl http2; 
  
  
  
  
listen  [::]:443 ssl http2;
 
 
 
 

重啟 nginx 后，你可以在這個網(wǎng)站上 tools.keycdn.com/http2-test 測試http2有沒有配置成功。

最后

完整配置

 
 
 
 

  
  
  
  
server { 
  
  
  
  
    listen                  80; 
  
  
  
  
    listen                  [::]:80; 
  
  
  
  
    listen                  443 ssl http2; 
  
  
  
  
    listen                  [::]:443 ssl http2; 
  
  
  
  
    server_name             wangsijie.top www.wangsijie.top; 
  
  
  
  
    ssl_certificate         ssl/fullchain.cer; 
  
  
  
  
    ssl_certificate_key     ssl/wangsijie.top.key; 
  
  
  
  
    ssl_session_cache       shared:SSL:10m; 
  
  
  
  
    ssl_session_timeout     10m; 
  
  
  
  
    ssl_prefer_server_ciphers on; 
  
  
  
  
    ssl_dhparam       ssl/dhparam.pem; 
  
  
  
  
    ssl_protocols           TLSv1 TLSv1.1 TLSv1.2; 
  
  
  
  
    ssl_ciphers     EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5; 
  
  
  
  
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; 
  
  
  
  
    add_header X-Frame-Options DENY; 
  
  
  
  
    add_header X-Content-Type-Options nosniff; 
  
  
  
  
    add_header X-Xss-Protection 1; 
  
  
  
  
    location / { 
  
  
  
  
        root /var/www/main; 
  
  
  
  
        index index.html; 
  
  
  
  
    } 
  
  
  
  
}
 
 
 
 

配置文件優(yōu)化

為了讓更多的二級域名支持上面的功能，每個 server 都這么寫太過于繁瑣。

可以將 listen 443 、ssl、add_header 相關(guān)的單獨寫在一個文件上，然后使用 inculde 指令。

如下：其他的配置都放在了conf.d/https-base.conf中

 
 
 
 

  
  
  
  
server { 
  
  
  
  
    listen                  8099; 
  
  
  
  
    listen                  [::]:8099; 
  
  
  
  
    server_name             test.wangsijie.top; 
  
  
  
  
    include                 conf.d/https-base.conf; 
  
  
  
  
    location / { 
  
  
  
  
        root /var/www/test; 
  
  
  
  
        index index.html; 
  
  
  
  
    } 
  
  
  
  
} 
 
 
 
 

當(dāng)前文章：Nginx配置Https零基礎(chǔ)教程
鏈接分享：http://www.5511xx.com/article/djogjgd.html