ubuntu遇到下nginx的编写翻译安装以至有关设置

作者: 金沙澳门官网网址  发布:2019-11-28

生龙活虎、基本的编写翻译与安装

1、安装依赖项

sudo apt-get update
sudo apt-get install build-essential zlib1g-dev libpcre3 libpcre3-dev libssl-dev libxslt1-dev libxml2-dev libgd2-xpm-dev libgeoip-dev libgoogle-perftools-dev libperl-dev libtool
sudo apt-get install openssl

2、下载新本子,到官方网址复制下载链接

wget http://nginx.org/download/nginx-1.13.5.tar.gz

3、解压

tar -zxvf nginx-1.13.5.tar.gz

4、编写翻译安装

# 进入解压目录:
cd nginx-1.13.5
# 配置:这里额外安装几个模块
./configure --prefix=/usr/local/nginx --with-http_ssl_module --with-stream --with-mail=dynamic

# 编辑nginx:
sudo make
# 安装nginx:
sudo make install
# 启动nginx:
sudo /usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
#注意:-c 指定配置文件的路径,不加的话,nginx会自动加载默认路径的配置文件,可以通过 -h查看帮助命令。

# 查看nginx进程:
ps -ef|grep nginx

# 建立软链接(由于/usr/local/bin包含于$PATH当中,这样就不需要额外的设置环境变量了,这意味着可以在其他路径下直接运行nginx命令)
sudo ln -s /usr/local/nginx/sbin/nginx /usr/local/bin #(创建链接)

 编写翻译选项表明:

--prefix=path 假诺在编写翻译的不指定安装地点,那么暗中认可的岗位/usr/local/nginx目录
--sbin-path=path 设置nginx实施脚本的岗位,这里若是设置在path变量里面,就足以在bash蒙受下,跋扈使用nginx命令,默许地点prefix/sbin/nginx  注意这里的prefix是在布署文件之中配备的门径
--conf-path=path 配置nginx配置文件的路子,倘使不点名这几个选项,那么配置文件的私下认可路线就能够是 prefix/conf/nginx.conf
--pid-path =path 配置nginx.pid file的门道,经常的话,进程在运维的时候的时候有三个进度id,那个id会保存在pid file里面,私下认可的pid file的停放地方是prefix/logs/nginx.pid
--error-log-path=path 设置错误日志的存放路线,借使不钦定,就私下认可prefix/logs/error.log
--http-log-path= path 设置http访问日志的门路,借使不钦定,就暗许prefix/logs/access.log
--user=name 设置暗中认可运维进度的客户,如若不钦赐,就暗中认可 nobody
--group=name 设置那么些顾客所在的顾客组,假如不点名,依旧是nobody
--with-http_ssl_module 开启HTTP SSL模块,使NGINX能够扶持HTTPS诉求。必要设置了OPENSSL  
--with-http_flv_module  
--with-http_stub_status_module 启用 "server status" 页
--without-http_gzip_module 禁用 ngx_http_gzip_module. 假使启用,供给 zlib
--without-http_ssi_module 禁用 ngx_http_ssi_module  
--without-http_referer_module 禁用 ngx_http_referer_module  
--without-http_rewrite_module 禁用 ngx_http_rewrite_module. 假设启用要求 PCRE 。  
--without-http_proxy_module 禁用 ngx_http_proxy_module  
--without-http_fastcgi_module 禁用 ngx_http_fastcgi_module  
--without-http_memcached_module 禁用 ngx_http_memcached_module  
--without-http_browser_module 禁用 ngx_http_browser_module 
--http-proxy-temp-path=PATH 设置路线到the http proxy temporary files  
--http-fastcgi-temp-path=PATH 设置路线到Set path to the http fastcgi temporary files  
--without-http 禁用 HTTP server
--with-mail 启用 IMAP4/POP3/SMTP 代理模块  
--with-mail_ssl_module 启用ngx_mail_ssl_module  
--with-openssl=DI君越 设置路线到OpenSSL library sources  
--with-stream 用来促成四层协商的转变、代理或然负载均衡等

二、ssl的连带布署

1、使用本身生成的注明(仅作测验或加密数据用,不被主流浏览器帮忙卡塔尔国 

# 建立服务器私钥(过程需要输入密码,请记住这个密码)生成RSA密钥
sudo openssl genrsa -des3 -out testcert.key 1024  
# 生成一个证书请求   
# 需要依次输入国家,地区,组织,email。
# 最重要的是有一个common name,可以写你的名字或者域名。如果为了https申请(不使用自己生成的证书,向CA申请),这个必须和域名吻合,否则会引发浏览器警报。生成的csr文件交给CA签名后形成服务端自己的证书
sudo openssl req -new -key testcert.key -out testcert.csr
# 生成不需要密码的key
sudo openssl rsa -in testcert.key -out testcert_nopwd.key  
# 生成crt文件
sudo openssl x509 -req -days 365 -in testcert.csr -signkey testcert_nopwd.key -out testcert.crt  

之后将testcert_nopwd.key、testcert.csr、testcert.crt文件复制到 /etc/ssl/certs 目录下

然后配置 nginx.conf 文件

出于在编写翻译中设置的路子是/usr/local/nginx,因而该文件坐落于/usr/local/nginx/conf 目录下。
开荒改文件,在http模块作如下设置:
ssl_certificate /etc/ssl/certs/testcert.crt;
ssl_certificate_key /etc/ssl/certs/testcert.key;

 具体的代码:

http {
   #proxy.conf文件参见下文
    include       proxy.conf;
    include       mime.types;
    default_type  application/octet-stream;  

    limit_req_zone $binary_remote_addr zone=one:10m rate=5r/s;
    server_tokens off;

    sendfile        on;
    #tcp_nopush     on;

    keepalive_timeout  29;
    client_body_timeout 10; 
    client_header_timeout 10; 
    send_timeout 10;
    #gzip  on;

    # mvctest只是一个名称
    upstream mvctest{
        server localhost:5000;
    }

    server {

        listen       80;
        add_header Strict-Transport-Security max-age=15768000;
        return 301 https://$host$request_uri;
    }

    server {
        listen *:443    ssl;
        server_name     localhost;
        ssl_certificate /etc/ssl/certs/testcert.crt;
        ssl_certificate_key /etc/ssl/certs/testcert.key;
        ssl_protocols TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;
        ssl_ciphers "EECDH AESGCM:EDH AESGCM:AES256 EECDH:AES256 EDH";
        ssl_ecdh_curve secp384r1;
        ssl_session_cache shared:SSL:10m;
        ssl_session_tickets off;
        ssl_stapling on; #ensure your cert is capable
        ssl_stapling_verify on; #ensure your cert is capable

        add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
        add_header X-Frame-Options SAMEORIGIN;
        add_header X-Content-Type-Options nosniff;

        #Redirects all traffic
        location / {
            proxy_pass  http://localhost:5000;
            limit_req   zone=one burst=10 nodelay;
            limit_req_status 503;
        }
    }

}

自定义的proxy.conf文件内容如下:

proxy_redirect             off;
proxy_set_header         Host             $host;
proxy_set_header        X-Real-IP         $remote_addr;
proxy_set_header        X-Forwarded-For    $proxy_add_x_forwarded_for;
proxy_set_header    X-Forwarded-Proto $scheme;
client_max_body_size     10m;
client_body_buffer_size 128k;
proxy_connect_timeout     90;
proxy_send_timeout         90;
proxy_read_timeout         90;
proxy_buffers            32 4k;

地方定义的区域名称叫one(zone=one卡塔尔国,分配内部存款和储蓄器大小为10m(假使限定域的囤积空间耗尽了,对于一而再再三再四全部伏乞,服务器都会回去 503卡塔 尔(英语:State of Qatar),
同一个ip($binary_remote_addr卡塔 尔(英语:State of Qatar)平均管理的伸手频率无法超越每秒5次(rate=5r/s卡塔 尔(英语:State of Qatar); 假如胜过每秒5次但当先的哀求数量低于等于10(burst=10卡塔尔国时,会推迟央浼。
比如凌驾每秒5次的乞请数超过10,则登时回到503(limit_req_status 503卡塔尔国给客户端。

2、申请证书

常用免费证书:https://letsencrypt.org/
平凡来讲,将CS智跑文件(生成形式同上,可能依照CA的需要卡塔尔国便是您须求提交给 SSL 认证单位的,当你的域名或团体通过认证后,认证部门就能够发表给你七个文件:test_com.crt和test_com.ca-bundle
而test_com.key是必要用在 Nginx 配置里和test_com.crt、test_com.ca-bundle协作使用的,须求卓越保管。

#使用cat命令生成
cat test_com.crt  test_com.ca-bundle > test_com.pem

末段获得多少个文件:test_com.key和test_com.pem,为了统一人置,可以把那二个文本都活动到 /etc/ssl/private 目录恐怕 /etc/ssl/cert 目录。
然后能够改善nginx.conf文件,如下:

server {  
    #...
    ssl on;
    ssl_certificate /etc/ssl/private/test_com.pem;
    ssl_certificate_key /etc/ssl/private/test_com.key;
    #...

}

同使用自生成证书基本相符,只是再次沟通为验证部门宣布的评释而已。

3、迪菲-赫尔曼密钥调换
如上这么做并不安全,默许是 SHA-1 方式,而以往主流的方案应该都制止SHA-1,为了保证更加强的安全性,大家能够应用迪菲-赫尔曼密钥沟通
首先,步向/etc/ssl/certs目录,实行命令 sudo  openssl dhparam -out dhparam.pem 4096 生成八个dhparam.pem 

test@test-VirtualBox:/etc/ssl/certs$ sudo  openssl dhparam -out dhparam.pem 4096
[sudo] test 的密码:
Generating DH parameters, 4096 bit long safe prime, generator 2
This is going to take a long time
# ...会等一段时间,与机器性能有关...
#完成后可以查看生成的文件
test@test-VirtualBox:~$ cd /etc/ssl/certs/
test@test-VirtualBox:/etc/ssl/certs$ ll dhparam.pem 
-rw-r--r-- 1 root root 769 9月  27 11:49 dhparam.pem

修改 nginx.conf 文件,添加 ssl_dhparam /etc/ssl/certs/dhparam.pem; 即可

ssl_prefer_server_ciphers on;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_ciphers "EECDH AESGCM:EDH AESGCM:AES256 EECDH:AES256 EDH";

 

三、运维有关

1、常用命令

#启动 Nginx
/usr/local/nginx/sbin/nginx 
./sbin/nginx 
#停止 Nginx
./sbin/nginx -s stop 
./sbin/nginx -s quit
# -s都是采用向 Nginx 发送信号的方式。
#Nginx重新加载配置
./sbin/nginx -s reload
#指定配置文件
./sbin/nginx -c /usr/local/nginx/conf/nginx.conf
#-c表示configuration,指定配置文件
#查看 Nginx 版本
./sbin/nginx -v
#帮助
./sbin/nginx -h
./sbin/nginx -?

2、自动运转
编写翻译安装须求谐和开展设置能够自动运维

# 设置nginx自启动,在/lib/systemd/system/ 目录下创建一个服务文件
vim /lib/systemd/system/nginx.service

剧情如下:

[Unit]
Description=nginx - high performance web server
After=network.target remote-fs.target nss-lookup.target

[Service]
Type=forking
ExecStart=/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
ExecReload=/usr/local/nginx/sbin/nginx -s reload
ExecStop=/usr/local/nginx/sbin/nginx -s stop

[Install]
WantedBy=multi-user.target

文本表达
[Unit]部分
Description:描述服务
After:信任,当看重的服务运营未来再开发银行自定义的劳务

[Service]部分
Type=forking是后台运转的款型
ExecStart为劳动的切切实实运作命令(供给基于路线适配)
ExecReload为重启命令(供给基于路径适配)
ExecStop为甘休命令(供给基于路线适配)
PrivateTmp=True表示给服务分配独立的一时间和空间间
小心:运转、重启、截至命令全体须求使用相对路线

[Install]部分
劳务安装的连带设置,可设置为多顾客

# 设置了自启动后,任意目录下执行
systemctl enable nginx.service
# 启动nginx服务
systemctl start nginx.service
# 设置开机自动启动
systemctl enable nginx.service
# 停止开机自动启动
systemctl disable nginx.service
# 查看状态
systemctl status nginx.service
# 重启服务
systemctl restart nginx.service
# 查看所有服务
systemctl list-units --type=service

四、只怕遇见的主题素材
nginx: [emerg] SSL_CTX_use_PrivateKey_file("/etc/ssl/certs/testcert.key") failed (SSL: error:0906406D:PEM routines:....
nginx运维的时候须要输入证书密码,消除办法是能够动用私钥来生成解密后的key来代表,效果是均等的(就跟ssh连接大致卡塔尔国,达到免密码重启的作用:
openssl rsa -in testcert.key -out untestcert.key
接下去你只须要在nginx里面使用新的untestcert.key就可以使用https连接了。

nginx: [emerg] zero size shared memory zone "oneip"
现身此错误都以因为在未钦定limit_req_zone钦命就接受了limit_req指令的由来(恐怕limit_req中的name值和limit_req_zone中定义的name值不均等卡塔 尔(英语:State of Qatar)。

 

本文由金沙澳门官网发布于金沙澳门官网网址,转载请注明出处:ubuntu遇到下nginx的编写翻译安装以至有关设置

关键词: 金沙澳门官网

上一篇:CA认证和发表吊销证书
下一篇:没有了