一、基本的编译与安装

1、安装依赖项

sudo apt-get update

sudo apt-get install build-essential zlib1g-dev libpcre3 libpcre3-dev libssl-dev libxslt1-dev libxml2-dev libgd2-xpm-dev libgeoip-dev libgoogle-perftools-dev libperl-dev libtool

sudo apt-get install openssl

2、下载新版本,到官网复制下载链接

wget http://nginx.org/download/nginx-1.13.5.tar.gz

3、解压

tar -zxvf nginx-1.13..tar.gz

4、编译安装

# 进入解压目录:

cd nginx-1.13.

# 配置:这里额外安装几个模块

./configure --prefix=/usr/local/nginx --with-http_ssl_module --with-stream --with-mail=dynamic

# 编辑nginx:

sudo make

# 安装nginx:

sudo make install

# 启动nginx:

sudo /usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf

#注意:-c 指定配置文件的路径,不加的话,nginx会自动加载默认路径的配置文件,可以通过 -h查看帮助命令。

# 查看nginx进程:

ps -ef|grep nginx

# 建立软链接(由于/usr/local/bin包含于$PATH当中,这样就不需要额外的设置环境变量了,这意味着可以在其他路径下直接运行nginx命令)

sudo ln -s /usr/local/nginx/sbin/nginx /usr/local/bin #(创建链接)

编译选项说明:

--prefix=path 如果在编译的不指定安装位置,那么默认的位置/usr/local/nginx目录
--sbin-path=path 设置nginx执行脚本的位置,这里如果设置在path变量里面,就可以在bash环境下,任意使用nginx命令,默认位置prefix/sbin/nginx  注意这里的prefix是在配置文件里面配置的路径
--conf-path=path 配置nginx配置文件的路径,如果不指定这个选项,那么配置文件的默认路径就会是 prefix/conf/nginx.conf
--pid-path =path 配置nginx.pid file的路径,一般来说,进程在运行的时候的时候有一个进程id,这个id会保存在pid file里面,默认的pid file的放置位置是prefix/logs/nginx.pid
--error-log-path=path 设置错误日志的存放路径,如果不指定,就默认 prefix/logs/error.log
--http-log-path= path 设置http访问日志的路径,如果不指定,就默认 prefix/logs/access.log
--user=name 设置默认启动进程的用户,如果不指定,就默认 nobody
--group=name 设置这个用户所在的用户组,如果不指定,依然是nobody
--with-http_ssl_module 开启HTTP SSL模块,使NGINX可以支持HTTPS请求。需要安装了OPENSSL  
--with-http_flv_module  
--with-http_stub_status_module 启用 "server status" 页
--without-http_gzip_module 禁用 ngx_http_gzip_module. 如果启用,需要 zlib
--without-http_ssi_module 禁用 ngx_http_ssi_module  
--without-http_referer_module 禁用 ngx_http_referer_module  
--without-http_rewrite_module 禁用 ngx_http_rewrite_module. 如果启用需要 PCRE 。  
--without-http_proxy_module 禁用 ngx_http_proxy_module  
--without-http_fastcgi_module 禁用 ngx_http_fastcgi_module  
--without-http_memcached_module 禁用 ngx_http_memcached_module  
--without-http_browser_module 禁用 ngx_http_browser_module 
--http-proxy-temp-path=PATH 设置路径到the http proxy temporary files  
--http-fastcgi-temp-path=PATH 设置路径到Set path to the http fastcgi temporary files  
--without-http 禁用 HTTP server
--with-mail 启用 IMAP4/POP3/SMTP 代理模块  
--with-mail_ssl_module 启用ngx_mail_ssl_module  
--with-openssl=DIR 设置路径到OpenSSL library sources  
--with-stream 用来实现四层协议的转发、代理或者负载均衡等

二、ssl的相关配置

1、使用自己生成的证书(仅作测试或加密数据用,不被主流浏览器支持)

# 建立服务器私钥(过程需要输入密码,请记住这个密码)生成RSA密钥

sudo openssl genrsa -des3 -out testcert.key

# 生成一个证书请求

# 需要依次输入国家,地区,组织,email。

# 最重要的是有一个common name,可以写你的名字或者域名。如果为了https申请(不使用自己生成的证书,向CA申请),这个必须和域名吻合,否则会引发浏览器警报。生成的csr文件交给CA签名后形成服务端自己的证书

sudo openssl req -new -key testcert.key -out testcert.csr

# 生成不需要密码的key

sudo openssl rsa -in testcert.key -out testcert_nopwd.key

# 生成crt文件

sudo openssl x509 -req -days  -in testcert.csr -signkey testcert_nopwd.key -out testcert.crt

之后将testcert_nopwd.key、testcert.csr、testcert.crt文件复制到 /etc/ssl/certs 目录下

然后配置 nginx.conf 文件

由于在编译中设置的路径是/usr/local/nginx,因此该文件位于/usr/local/nginx/conf 目录下。
打开改文件,在http模块作如下设置:
ssl_certificate /etc/ssl/certs/testcert.crt;
ssl_certificate_key /etc/ssl/certs/testcert.key;

具体的代码:

http {
   #proxy.conf文件参见下文

    include       proxy.conf;

    include       mime.types;

    default_type  application/octet-stream;  

    limit_req_zone $binary_remote_addr zone=one:10m rate=5r/s;

    server_tokens off;

    sendfile        on;

    #tcp_nopush     on;

    keepalive_timeout  ;

    client_body_timeout ;

    client_header_timeout ;

    send_timeout ;

    #gzip  on;

    # mvctest只是一个名称

    upstream mvctest{

        server localhost:;

    }

    server {

        listen       ;

        add_header Strict-Transport-Security max-age=;

        return  https://$host$request_uri;

    }

    server {

        listen *:    ssl;

        server_name     localhost;

        ssl_certificate /etc/ssl/certs/testcert.crt;

        ssl_certificate_key /etc/ssl/certs/testcert.key;

        ssl_protocols TLSv1. TLSv1.;

        ssl_prefer_server_ciphers on;

        ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";

        ssl_ecdh_curve secp384r1;

        ssl_session_cache shared:SSL:10m;

        ssl_session_tickets off;

        ssl_stapling on; #ensure your cert is capable

        ssl_stapling_verify on; #ensure your cert is capable

        add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

        add_header X-Frame-Options SAMEORIGIN;

        add_header X-Content-Type-Options nosniff;

        #Redirects all traffic

        location / {

            proxy_pass  http://localhost:5000;

            limit_req   zone=one burst= nodelay;

            limit_req_status ;

        }

    }

}

自定义的proxy.conf文件内容如下:

proxy_redirect             off;

proxy_set_header         Host             $host;

proxy_set_header        X-Real-IP         $remote_addr;

proxy_set_header        X-Forwarded-For    $proxy_add_x_forwarded_for;

proxy_set_header    X-Forwarded-Proto $scheme;

client_max_body_size     10m;

client_body_buffer_size 128k;

proxy_connect_timeout     ;

proxy_send_timeout         ;

proxy_read_timeout         ;

proxy_buffers             4k;

上面定义的区域名称为one(zone=one),分配内存大小为10m(如果限制域的存储空间耗尽了,对于后续所有请求,服务器都会返回 503),
同一个ip($binary_remote_addr)平均处理的请求频率不能超过每秒5次(rate=5r/s); 如果超过每秒5次但超过的请求数量小于等于10(burst=10)时,会延迟请求。
如果超过每秒5次的请求数超过10,则立即返回503(limit_req_status 503)给客户端。

2、申请证书

常用免费证书:https://letsencrypt.org/
通常来说,将CSR文件(生成方式同上,或者按照CA的要求)就是你需要提交给 SSL 认证机构的,当你的域名或组织通过验证后,认证机构就会颁发给你两个文件:test_com.crt和test_com.ca-bundle
而test_com.key是需要用在 Nginx 配置里和test_com.crt、test_com.ca-bundle配合使用的,需要好好保管。

#使用cat命令生成

cat test_com.crt  test_com.ca-bundle > test_com.pem

最终得到两个文件:test_com.key和test_com.pem,为了统一位置,可以把这二个文件都移动到 /etc/ssl/private 目录或者 /etc/ssl/cert 目录。
然后可以修改nginx.conf文件,如下:

server {

    #...

    ssl on;

    ssl_certificate /etc/ssl/private/test_com.pem;

    ssl_certificate_key /etc/ssl/private/test_com.key;

    #...

}

同使用自生成证书基本一样,只是重新替换为认证机构颁发的证书而已。

3、迪菲-赫尔曼密钥交换
以上这么做并不安全,默认是 SHA-1 形式,而现在主流的方案应该都避免 SHA-1,为了确保更强的安全性,我们可以采取迪菲-赫尔曼密钥交换
首先,进入/etc/ssl/certs目录,执行命令 sudo  openssl dhparam -out dhparam.pem 4096 生成一个dhparam.pem

test@test-VirtualBox:/etc/ssl/certs$ sudo  openssl dhparam -out dhparam.pem 4096

[sudo] test 的密码:

Generating DH parameters,  bit long safe prime, generator

This is going to take a long time

# ...会等一段时间,与机器性能有关...

#完成后可以查看生成的文件

test@test-VirtualBox:~$ cd /etc/ssl/certs/

test@test-VirtualBox:/etc/ssl/certs$ ll dhparam.pem

-rw-r--r--  root root  9月   : dhparam.pem

修改 nginx.conf 文件,添加 ssl_dhparam /etc/ssl/certs/dhparam.pem; 即可

ssl_prefer_server_ciphers on;

ssl_dhparam /etc/ssl/certs/dhparam.pem;

ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";

三、启动相关

1、常用命令

#启动 Nginx

/usr/local/nginx/sbin/nginx

./sbin/nginx 

#停止 Nginx

./sbin/nginx -s stop

./sbin/nginx -s quit

# -s都是采用向 Nginx 发送信号的方式。

#Nginx重新加载配置

./sbin/nginx -s reload

#指定配置文件

./sbin/nginx -c /usr/local/nginx/conf/nginx.conf

#-c表示configuration,指定配置文件

#查看 Nginx 版本

./sbin/nginx -v

#帮助

./sbin/nginx -h

./sbin/nginx -?

2、自动启动
编译安装需要自己进行设置方可自动启动

# 设置nginx自启动,在/lib/systemd/system/ 目录下创建一个服务文件

vim /lib/systemd/system/nginx.service

内容如下:

[Unit]

Description=nginx - high performance web server

After=network.target remote-fs.target nss-lookup.target

[Service]

Type=forking

ExecStart=/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf

ExecReload=/usr/local/nginx/sbin/nginx -s reload

ExecStop=/usr/local/nginx/sbin/nginx -s stop

[Install]

WantedBy=multi-user.target

文件说明
[Unit]部分
Description:描述服务
After:依赖,当依赖的服务启动之后再启动自定义的服务

[Service]部分
Type=forking是后台运行的形式
ExecStart为服务的具体运行命令(需要根据路径适配)
ExecReload为重启命令(需要根据路径适配)
ExecStop为停止命令(需要根据路径适配)
PrivateTmp=True表示给服务分配独立的临时空间
注意:启动、重启、停止命令全部要求使用绝对路径

[Install]部分
服务安装的相关设置,可设置为多用户

# 设置了自启动后,任意目录下执行

systemctl enable nginx.service

# 启动nginx服务

systemctl start nginx.service

# 设置开机自动启动

systemctl enable nginx.service

# 停止开机自动启动

systemctl disable nginx.service

# 查看状态

systemctl status nginx.service

# 重启服务

systemctl restart nginx.service

# 查看所有服务

systemctl list-units --type=service

四、可能遇到的问题
nginx: [emerg] SSL_CTX_use_PrivateKey_file("/etc/ssl/certs/testcert.key") failed (SSL: error:0906406D:PEM routines:....
nginx启动的时候需要输入证书密码,解决办法是可以使用私钥来生成解密后的key来代替,效果是一样的(就跟ssh连接差不多),达到免密码重启的效果:
openssl rsa -in testcert.key -out untestcert.key
接下来你只需要在nginx里面使用新的untestcert.key即可使用https连接了。

nginx: [emerg] zero size shared memory zone "oneip"
出现此错误都是因为在未指定limit_req_zone指定就使用了limit_req指令的原因(或者limit_req中的name值和limit_req_zone中定义的name值不一致)。

最新文章

  1. centos 安装php5.6
  2. Visual Studio 常用插件
  3. ads
  4. 非常好!!!【从头开始写操作系统系列】实现一个-GDT(1)【转】
  5. oracle表锁住 解锁办法
  6. 安装 Panda3D 并使用原有的Python
  7. twemproxy 简介
  8. (转)NoSQL——Redis在win7下安装配置的学习一
  9. tnvm 安装模块不能找到关联模块问题
  10. 微信iOS客户端升级内核对自定义分享的影响
  11. oracle 表空间不足解决办法
  12. mintUI配合vue2.0,webpack,vue-cli脚手架从零搭建
  13. 笔记:promise实例+注释
  14. django 源码报错
  15. power_save模式
  16. 利用顶点位移进行VR畸变校正
  17. 软Raid5制作
  18. (转)Hashtable与ConcurrentHashMap区别
  19. 前端基础小标签3 H5新标签
  20. [0403]学习一个——苟(简单Java开发)

热门文章

  1. (转)android mock location
  2. HDFS集群安装
  3. 【react表格组件】material-table 基本用法 & 组件override
  4. Flowers---hdu4325(区间处理 离散化)
  5. android推送,极光推送
  6. Eclipse集成SVN
  7. java7(2)——使用mutilcatch注意事项
  8. MyEclipse安装主题(Color Theme)
  9. golang build error: syntax error: nested func not allowed
  10. std::bind