2017年

Nginx 编译安装http2教程

  1. 前言
    这次为大家带来的是 linux 下 Nginx 的编译安装http2教程!http2与http的区别和优势差异,这里就不再赘述了。相信了解的大都会选择http2,如果你也想尝试或者了解可以参考本教程来尝试安装!

还是老话:新手建议修改任何文件之前,先备份!如造成生产环境或者数据异常,请自行负责!

本次安装环境系统为:CentOS 6.9

  1. 安装准备

同样先更新系统,然后安装必要的依赖库文件等:
yum update
yum upgrade
yum install -y patch libtool gcc gcc-c++ autoconf automake zlib zlib-devel pcre-devel make unzip git wget

  1. 下载 openssl 安装包

这里我们下载官网最新的 1.1.0f 版本:
wget --no-check-certificate https://www.openssl.org/source/openssl-1.1.0f.tar.gz
解压:
tar zxvf openssl-1.1.0f.tar.gz
注意,记住openssl解压文件存放目录,后面编译安装nginx需要用到

  1. 下载 nginx安装包

同样这里我们下载官网最新的nginx 1.13.5版本:
wget -c http://nginx.org/download/nginx-1.13.5.tar.gz
解压并进入解压文件目录:
tar zxvf nginx-1.13.5.tar.gz
nginx-1.13.5

  1. 开始执行编译安装

a.生成/var/cache/nginx 目录,用于存放 Nginx 反向代理的缓存文件
mkdir -p /var/cache/nginx
b.新建nginx的运行用户www(这里用户自行设置)
useradd www
c.选择编译模块,这里我们要安装http2,则选择以下模块(如需要其他模块,请自行选择添加):
http_v2_module
http_ssl_module
d.本次教程的完整编译命令如下:
./configure --prefix=/usr/local/nginx --user=www --group=www --conf-path=/etc/nginx/nginx.conf --with-openssl=/nginx/openssl-1.1.0f --with-http_v2_module --with-http_ssl_module --with-http_gzip_static_module --without-mail_pop3_module --without-mail_imap_module --without-mail_smtp_module --without-http_uwsgi_module --without-http_scgi_module --with-http_stub_status_module --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp
其中--prefix=/usr/local/nginx表示将nginx编译安装到/usr/local/nginx目录下,--user=www --group=www表示nginx运行的用户和组名称,--conf-path=/etc/nginx/nginx.conf表示nginx配置文件路径
特别注意:--with-openssl=/nginx/openssl-1.1.0f 这里就需要填写前面下载并解压的openssl文件路径,如没有填写或者路径错误,则编译就会出错!
选择好编译的模块后执行以上命令,执行编译!并等待滚屏完成!得到如下图:
20171002120938.jpg
检查各项路径,是否正常!
e.执行安装命令
make && make install
等待安装滚屏结束

  1. 测试是否正常运行

/usr/local/nginx/sbin/nginx -t
如图则表示测试默认配置文件正常
20171002125508.jpg

  1. 查看版本以及具体模块参数等

/usr/local/nginx/sbin/nginx -V
20171002130119.jpg

  1. 将nginx添加到系统服务

在/etc/init.d/目录下创建名为nginx脚本,并写入以下内容(注意修改一些文件的路径和nginx安装配置的一致)


脚本代码开始:

!/bin/sh

. /etc/rc.d/init.d/functions
. /etc/sysconfig/network
[ "$NETWORKING" = "no" ] && exit 0

nginx="/usr/local/nginx/sbin/nginx"
prog=$(basename $nginx)

NGINX_CONF_FILE="/etc/nginx/nginx.conf"

[ -f /etc/sysconfig/nginx ] && . /etc/sysconfig/nginx

lockfile=/var/run/nginx.lock

start() {

[ -x $nginx ] || exit 5 
[ -f $NGINX_CONF_FILE ] || exit 6 
echo -n $"Starting $prog: " 
daemon $nginx -c $NGINX_CONF_FILE 
retval=$? 
echo 
[ $retval -eq 0 ] && touch $lockfile 
return $retval 

}

stop() {

echo -n $"Stopping $prog: " 
killproc $prog -QUIT 
retval=$? 
echo 
[ $retval -eq 0 ] && rm -f $lockfile 
return $retval 

killall -9 nginx
}

restart() {

configtest || return $? 
stop 
sleep 1 
start 

}

reload() {

configtest || return $? 
echo -n $"Reloading $prog: " 
killproc $nginx -HUP 

RETVAL=$?

echo 

}

force_reload() {

restart 

}

configtest() {
$nginx -t -c $NGINX_CONF_FILE
}

rh_status() {

status $prog 

}

rh_status_q() {

rh_status >/dev/null 2>&1 

}

case "$1" in

start) 
    rh_status_q && exit 0 
$1 
    ;; 
stop) 
    rh_status_q || exit 0 
    $1 
    ;; 
restart|configtest) 
    $1 
    ;; 
reload) 
    rh_status_q || exit 7 
    $1 
    ;; 
force-reload) 
    force_reload 
    ;; 
status) 
    rh_status 
    ;; 
condrestart|try-restart) 
    rh_status_q || exit 0 
        ;; 
*)    
  echo $"Usage: $0 {start|stop|status|restart|condrestart|try-restart|reload|force-reload|configtest}" 
    exit 2 

esac


脚本代码结束

  1. 添加脚本文件权限并开启服务

chmod 755 /etc/init.d/nginx
chkconfig --add nginx
Nginx启动,停止,配置测试,重载
service nginx start
service nginx stop
service nginx configtest
service nginx reload

  1. 配置结束。

创建站点开启http2,测试http2是否正常!
A.在nginx配置文件/etc/nginx/nginx.conf中添加一行配置,方便多站点直接加载:
include /usr/local/nginx/vhost/*.conf; (这样直接创建主机站点配置文件,并上传到/usr/local/nginx/vhost/目录下即可直接读取配置)
20171002190317.jpg
B.创建主机站点配置文件www.xxx.com.conf

server {
    listen 443 ssl http2 default_server;
    server_name  www.xxx.com;
    root /data/wwwroot/www.xxx.com
    ssl_certificate      /ssl/cert.pem;
    ssl_certificate_key  /ssl/cert.key;

    ssl_session_cache    shared:SSL:1m;
    ssl_session_timeout  5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers  on;

    location / {
        root   html;
        index  index.html index.htm;
    }
}

创建并上传到/usr/local/nginx/vhost/目录,重启nginx

C.测试地址
https://myssl.com/http2_check.html
20171002192554.jpg

SSL A+ 配置的一个注意问题(HSTS配置)

1. 前言

前面我们提供了Apache、Nginx下的配置教程。但是在SSL配置中有一个问题需要注意!

 2. Apache、Nginx下HSTS代码

Apache:

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

Header always set X-Frame-Options DENY

Header always set X-Content-Type-Options nosniff

Nginx:

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"; 

3. 注意的问题

那就是HSTS的问题:

优势:开启HSTS后,安全评分可以达到A+

弊端:开启HSTS后,很长时间就不能换回HTTP了,同时需要全站开启HTTPS 

4. 说明

开启HSTS 配置,这个对评分影响也比较大,开启这个需要全站开启 HTTPS ,同时也有弊端,开启 HSTS 后,很长时间就不能换回 HTTP 了,max-age后面的数字即表示时间 单位:秒 (15768000 seconds = 6 months)(我的教程中,这个时间我是缩短了一下的,大概两个多月的样子) 

5. 结束

这个问题就各取所需了,有些人可能一直开https,这也是全民上ssl的一个趋势吧!如果一直开上ssl且并不打算换回http,就不用担心这些问题了!但是如果你已经在用很久的http,又想尝试https,可以在配置的时候就考虑不要加上HSTS配置!

20171005155437.jpg

宝塔面板 Nginx SSL 配置 A + 等级教程

一. 前言
上一篇文章我们配置了Apache的ssl A+教程,这次为大家带来的是Nginx!

为什么要把 SSL 的配置安全等级设置为 A + 呢?我也不知道!好看?
各取所需嘛,不同的人肯定有不同的理解!大家随意,文章教程本就是给那些需要的人!
新手建议修改任何文件之前,先备份!如造成生产环境或者数据异常,请自行负责!

二. 演示配置环境
宝塔 linux 面板 5.1(bt.cn)
Web 服务器环境 nginx1.8

请自行安装好宝塔面板以及nginx环境,并建立好站点(开启ssl)!

三. 具体配置教程

  1. 前置

同样,先了解下宝塔面板的建立的站点nginx环境下的路径:
nginx1.8 安装路径:/www/server/nginx
所有站点配置文件存放路径:/www/server/panel/vhost/nginx/
站点配置文件:/www/server/panel/vhost/nginx/你的域名.conf(本教程需要修改此文件)

  1. SSL开启、证书配置

注意:大部分证书机构提供的证书都是多级,所以可能需要我们把多个证书合并成一个,可以减少浏览器额外下载中间证书的次数。具体合并方法请自行探索,这里不叙述了!
**listen 443 ssl;
ssl on; (开启ssl)
ssl_certificate /etc/letsencrypt/live/你的域名/fullchain.pem; (完整证书.crt、.pem文件位置)
ssl_certificate_key /etc/letsencrypt/live/你的域名/privkey.pem; (证书私钥.key文件位置)**

  1. 生成dhparam.pem

命令:openssl dhparam -out dhparam.pem 4096
可能需要比较长的时间,具体根据你的vps服务器cpu 内存而定!我这里默认是使用的4k,如果配置比较低,也可以换成2k,即把后面的参数4096换成2048
写入到站点配置文件:ssl_dhparam /ssl/certs/dhparam.pem;(注意修改dhparam.pem文件路径为你自己的)

  1. 加密套件和 ciphers 选择,ciphers 的选择比较关键,这个配置中的 ciphers 支持大多数浏览器,但不支持 XP/IE6

ssl_ciphers "ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS";

ssl_prefer_server_ciphers on;

  1. 安全协议,选择TLS协议,禁用了不安全的 ssl 协议 SSL 2.0 和 SSL 3.0

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

  1. ssl session配置

ssl_session_cache shared:SSL:10m; (ssl session缓存时间10分钟)
ssl_session_timeout 10m; (ssl session超时时间10分钟)

  1. HSTS 配置,这个对评分影响也比较大,开启这个需要全站开启 HTTPS 同时也有弊端,开启HSTS后,很长时间就不能换回HTTP了,后面的数字即表示时间(15768000 seconds = 6 months)

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

  1. 将以上内容写入到站点配置文件的server {} 位置

完整配置如图:
20170928121132.jpg
红线部分即需要添加的内容

  1. 重启Nginx

重启nginx,reload配置,查看是否报错,如有报错,请检查是否修改不正确!
重启方法:
service nginx restart
/etc/init.d/nginx restart

四. SSL安全等级测试地址

测试地址:https://www.ssllabs.com/ssltest/
Hostname 后输入域名,点击 Submit 开始测试,等待测试完成即可!
20170928120944.jpg

五. 写在后面
写这么多,也希望能帮到一些人吧!如有疑问,可以评论提出!
这些内容均为自己一年多前研究摸索获得,参考较多内容,时间太长具体那些已经忘记!
基本算是原创吧,如有转载,请注明出处!谢谢!
希望大家多多支持!

宝塔面板 Apache SSL配置A+ 等级教程

一、 写在前面

为什么要把 SSL 的配置安全等级设置为 A + 呢?我也不知道!好看?各取所需嘛,不同的人肯定有不同的理解!大家随意,文章教程本就是给那些需要的人!

新手建议修改任何文件之前,先备份!如造成生产环境或者数据异常,请自行负责!
本教程中配置后,无需再单独修改每个站点配置文件,后期直接创建站点并开启 ssl 即可!

二、 演示配置环境

演示配置环境:
宝塔 linux 面板 5.1(www.bt.cn)
Web 服务器环境 Apache2.4
至于宝塔安装教程不叙述,请自行自官方查询!
首先,请安装好宝塔面板,并在软件管理中安装 Apache2.4 环境,并添加好站点!点击站点设置,开启 SSL!(ssl 证书获取方式不多叙述,这里演示就用面板自带的自动申请 Let's Encrypt 免费证书)如下图:

三、 具体配置教程

1、前置先了解下宝塔面板的建立的站点 apache 环境下的路径:
apache2.4 安装路径:/www/server/apache(本文不需要,了解即可)
所有站点配置文件存放路径:/www/server/panel/vhost/apache/(本教程需要上传 / 新建 SSL 配置文件到此路径)
站点配置文件:/www/server/panel/vhost/apache / 你的域名. conf(本教程可能需要修改此文件)
2、SSL 安全设置
为 apache 添加安全配置:
创建 ssl.conf 文件,并录入以下内容:
#侦听 ssl 443 端口

  1. Listen 443  

#加密套件和 ciphers 选择,ciphers 的选择比较关键,这个配置中的 ciphers 支持大多数浏览器,但不支持 XP/IE6

  1. SSLCipherSuite  ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS  

#安全协议,禁用了不安全的 ssl 协议 SSL 2.0 和 SSL 3.0

  1. SSLProtocol All  -SSLv2 -SSLv3  

#启用优先级 正向保密

  1. SSLHonorCipherOrder  On  

#HSTS 配置,这个对评分影响也比较大,开启这个需要全站开启 HTTPS 同时也有弊端,开启 HSTS 后,很长时间就不能换回 HTTP 了,后面的数字即表示时间 (15768000 seconds = 6 months)

  1. Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"  
  2. Header always set X-Frame-Options DENY  
  3. Header always set X-Content-Type-Options nosniff  

将上述文件 ssl.conf 上传到 / www/server/panel/vhost/apache / 目录下
此处需要说明:
a. 此文件内容本是需要加载到 apache 的配置文件 httpd.conf 的内容中,即 / www/server/apache/conf/httpd.conf 但是宝塔面板的这个配置文件中已经加载一条命令直接读取 / www/server/panel/vhost/apache / 下的配置文件,所以这里就直接单独设置一个文件上传到这里即可!
b. 如果你是其他环境,或者自行编译安装的,请自行将以上内容添加到 httpd.conf 配置文件中!
3、站点 ssl 证书配置文件设置编辑 / www/server/panel/vhost/apache / 你的域名. conf 中,具体内容为:

  1. #SSL  
  2. SSLEngine On  
  3. ​SSLCertificateFile /etc/letsencrypt/live / 你的域名 / fullchain.pem  
  4. SSLCertificateKeyFile /etc/letsencrypt/live / 你的域名 / privkey.pem  

修改位置和方法:
#开启站点 ssl:
SSLEngine On
#站点 ssl 证书文件路径:
SSLCertificateFile /xxx/ssl/ssl.crt(不同地方下载的证书格式可能不同,自行根据你的文件存放路径和名称填写)
#ssl 证书私钥 key 路径:
SSLCertificateKeyFile /xxx/ssl/key.key(不同地方下载的证书私钥 key 格式可能不同,自行根据你的文件存放路径和名称填写)
#增加一项,ssl 的根证书位置,一般是需要这一项的,如没有根证书,可能某些浏览器会报不安全!(为什么默认这里没有,因为我这里是直接使用的宝塔后台 Let's Encrypt 免费证书,自动已经将根证书和你所申请域名的 ssl 证书合并在一个文件中)
SSLCertificateChainFile /xxx/ssl/root.crt
关于这里的一些配置,对 ssl 配置有一定了解的,基本都清楚怎么配置的,也比较适合喜欢折腾自己弄的朋友!
新手建议直接在宝塔后台操作就可以了,也避免出错!
当然你想自己弄,学点东西也是可以的!其他地方不清楚建议不要修改!
自此,配置基本技术,重启 apache 服务器,查看是否报错,如有报错,请检查是否修改不正确!
重启方法:

  1. service httpd restart  
  2. /etc/init.d/httpd restart  

四、 SSL安全等级测试

测试地址:https://www.ssllabs.com/ssltest/
Hostname 后输入域名,点击 Submit 开始测试,等待测试完成即可!

五、 写在后面

写这么多,也希望能帮到一些人吧!如有疑问,可以评论提出!这些内容均为自己一年多前研究摸索获得,参考较多内容,时间太长具体那些已经忘记!基本算是原创吧,如有转载,请注明出处!谢谢!希望大家多多支持!


Warning: in_array() expects parameter 2 to be array, null given in /www/users/HK1590886/WEB/usr/plugins/TopLamuLeimu/Plugin.php on line 85