установить нгинкс
Возможно, вы уже прошлиapt-get yumДождитесь установки команды, но она может не поддерживать такие функции, как https http2 ipv6.
Посмотреть текущую конфигурацию версии
мы можем пройтиnginx -Vкоманда, чтобы увидеть версию и поддерживаемые конфигурации.
Ниже приведен пример ubuntu, удаления и установки nginx.
удалить
# 移除 nginx
$ apt-get --purge remove nginx
# 查询 nginx 依赖的包,会列出来
$ dpkg --get-selections|grep nginx
# 移除上面列出的包,例如 nginx-common
$ apt-get --purge remove nginx-common
# 也可以执行 autoremove ,会自动删除不需要的包
$ apt-get autoremove
# 查询 nginx 相关的文件,删掉就可以了
$ sudo find / -name nginx*
Установить
Установить зависимые библиотеки
# gcc g++
apt-get install build-essential
apt-get install libtool
# pcre
sudo apt-get install libpcre3 libpcre3-dev
# zlib
apt-get install zlib1g-dev
# ssl
apt-get install openssl
apt-get install libssl-dev
установить нгинкс
прибытьnginx downloadНайдите последнюю версию nginx на
# 下载
$ wget https://nginx.org/download/nginx-1.17.8.tar.gz
# 解压
$ tar -zxvf nginx-1.17.8.tar.gz
# 进入目录
$ cd nginx-1.17.8
# 配置,这里可能会报错,缺少啥就去安装啥
$ ./configure --prefix=/usr/local/nginx \
--with-http_gzip_static_module \
--with-http_v2_module \
--with-pcre \
--with-http_ssl_module
# 编译,这里可能会报错,缺少啥就去安装啥
$ make
# 安装
$ make install
# 通过软连接,这样就可以直接使用 nginx 执行
$ sudo ln -s /usr/local/nginx/sbin/nginx /usr/bin/nginx
SSL-сертификат
SSL-сертификаты обычно покупаются, но есть и бесплатные, которые выдаются сторонними центрами сертификации SSL. Вы также можете купить его у поставщиков облачных услуг, но, как правило, бесплатные сертификаты ssl могут поддерживать только одно доменное имя.
Рекомендуется здесьДавайте зашифруемагентство, затем используйтеacme.shСоздавайте бесплатные сертификаты от letsencrypt и можете генерировать общие сертификаты домена.
Ссылаться наacme.sh Китайская вики,Используйте acme.sh для развертывания Let's Encrypt и реализации HTTPS для общих доменных имен с помощью проверки Alibaba Cloud DNS.
Приведенные выше две статьи очень подробные, поэтому я не буду их повторять.
PS:
- Рекомендуется проверка DNS
-
--dns dns_aliпо данным разных поставщиков услуг,dns_aliЭто означает Alibaba Cloud. Ссылки на других поставщиков услугHow to use DNS API. - После создания сертификата по умолчанию
~/.acme.sh/каталог, файлы здесь используются внутри и должны использоваться--installcertкоманда к целевому местоположению
Здесь сертификат помещается в каталог conf nginx..../conf/ssl/...
настроить http
http базовая конфигурация
Настройка http очень проста, настройка следующая, мы сначала делаем сайт доступным.
server {
listen 80;
server_name wangsijie.top www.wangsijie.top;
location / {
root /var/www/main;
index index.html;
}
}
использоватьhttp://доступ, он будет отображаться следующим образом
Настроить HTTPS.
Базовая конфигурация HTTPS
server {
listen 443 ssl;
server_name wangsijie.top www.wangsijie.top;
# 证书文件,这里使用了 fullchain.cer 通过 acme.sh 生成的泛域名证书
ssl_certificate ssl/fullchain.cer;
# 私钥文件
ssl_certificate_key ssl/wangsijie.top.key;
location / {
root /var/www/main;
index index.html;
}
}
После перезапуска сhttps://Посетите свой веб-сайт в начале, и вы найдете
Изменить конфигурацию http
но сhttp://Доступ, он по-прежнему показывает, что соединение не защищено, нам нужно изменить конфигурацию, при доступе к http он будет перенаправлять на https следующим образом
server {
listen 80;
server_name wangsijie.top www.wangsijie.top;
return 301 https://$server_name$request_uri;
}
затем используйтеhttp://доступ, вы будете перенаправлены наhttps://
PS:
Есть также много применений в Интернетеrewriteперенаправить, ноreturnИнструкция проста и эффективна, рекомендуется использовать ее как можно чаще.return
Полная конфигурация
server {
listen 80;
server_name wangsijie.top www.wangsijie.top;
return 301 https://$server_name$request_uri;
}
server {
listen 443 ssl;
server_name wangsijie.top www.wangsijie.top;
ssl_certificate ssl/fullchain.cer;
ssl_certificate_key ssl/wangsijie.top.key;
location / {
root /var/www/main;
index index.html;
}
}
Гибридная конфигурация
server {
listen 80;
listen 443 ssl;
server_name wangsijie.top www.wangsijie.top;
ssl_certificate ssl/fullchain.cer;
ssl_certificate_key ssl/wangsijie.top.key;
location / {
root /var/www/main;
index index.html;
}
}
безопасный https
набор шифров
https по умолчанию использует алгоритм SHA-1, который очень хрупок. мы можем использоватьОбмен ключами Диффи-Хеллмана.
мы в/conf/sslсоздается в каталогеdhparam.pemдокумент
openssl dhparam -out dhparam.pem 2048
следующие инструкцииssl_protocolsа такжеssl_ciphersИспользуется для ограничения соединений, чтобы они содержали только расширенные версии и алгоритмы SSL/TLS.
# 优先采取服务器算法
ssl_prefer_server_ciphers on;
# 使用 DH 文件
ssl_dhparam ssl/dhparam.pem;
# 协议版本
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
# 定义算法
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
безопасные заголовки ответа
# 启用 HSTS 。允许 https 网站要求浏览器总是通过 https 来访问
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains;preload" always;
# 减少点击劫持
add_header X-Frame-Options DENY;
# 禁止服务器自动解析资源类型
add_header X-Content-Type-Options nosniff;
# 防XSS攻擊
add_header X-Xss-Protection 1;
оптимизация сервера
# 配置共享会话缓存大小
ssl_session_cache shared:SSL:10m;
# 配置会话超时时间
ssl_session_timeout 10m;
конфигурация http2
Конфигурация http2 очень проста, просто добавьте http2 позже.
под[::]:Указывает конфигурацию ipv6, вам не нужно добавлять эту строку
listen 80;
listen [::]:80;
listen 443 ssl http2;
listen [::]:443 ssl http2;
После перезапуска nginx вы можетеtools.keycdn.com/http2-testПроверьте, успешно ли настроен http2.
наконец
Полная конфигурация
server {
listen 80;
listen [::]:80;
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name wangsijie.top www.wangsijie.top;
ssl_certificate ssl/fullchain.cer;
ssl_certificate_key ssl/wangsijie.top.key;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_prefer_server_ciphers on;
ssl_dhparam ssl/dhparam.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
add_header X-Xss-Protection 1;
location / {
root /var/www/main;
index index.html;
}
}
Оптимизация профиля
Чтобы позволить большему количеству вторичных доменных имен поддерживать вышеуказанные функции, писать это для каждого сервера слишком громоздко.
Вы можете написать listen 443 , ssl, add_header, относящиеся к файлу отдельно, а затем использоватьinculdeинструкция.
В следующем порядке: другие конфигурации размещеныconf.d/https-base.confсередина
server {
listen 8099;
listen [::]:8099;
server_name test.wangsijie.top;
include conf.d/https-base.conf;
location / {
root /var/www/test;
index index.html;
}
}
Вышеизложенное завершает настройку https, и вы можете спокойно посещать свой веб-сайт.