Nginx 进阶 (ssl、fpm、rewrite、cache配置等)

一、配置https网站

1、自建CA

(1)生成私钥文件

mkdir -p /etc/pki/CA/private #创建私钥保存的目录

(umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096) #创建私钥

ll /etc/pki/CA/private/ # 私钥只能自己保存,对保密性要求高

(2)生成自签证书

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out cacert.pem -days 7300

(3)为CA提供所需的目录和文件

touch /etc/pki/CA/index.txt # 创建数据库文件

echo 01 > /etc/pki/CA/serial # 创建序列号文件并给明第一个证书的序列号码

ll /etc/pki/CA

CA创建完成

2、证书申请

(1)在证书申请的主机上生成私钥

cd /etc/nginx/

mkdir ssl #创建保存私钥的目录

cd ssl

(umask 077;openssl genrsa -out nginx.key 2048)

ll

(2)生成证书签署请求

openssl req -new -key nginx.key -out nginx.csr -days 365

(3)把请求发送给CA,因为这是本机,就不发了。

(4)CA签发证书

openssl ca -in /etc/nginx/ssl/nginx.csr -out /etc/nginx/ssl/nginx.crt -days 365

报错如下:

说明我们生成自签证书没做好,上去检查那一步,发现什么事情,我们的自签证书生成到root目录下了。所以再来一次绝对路径的:openssl req -new -key /etc/pki/CA/private/cakey.pem -days 365 -x509 -out /etc/pki/CA/cacert.pem

再试试:结果如下

cd /etc/nginx/ssl 看一下:

3、配置/etc/nginx/nginx.conf

vim /etc/nginx/nginx.conf

检查,重启,测试

最后说一下几个配置项的含义:具体见官网ngx——http——ssl——moudle模块

二、rewrite模块配置(很重要)

官方文档在http://nginx.org/en/docs/http/ngxhttprewrite_module.html

用法:rewrite regex replacement [flag];

把用户请求的URL基于regex做检查,匹配到时将替换为replacement指定的字符串;

如果replacement是以http:// 或https://开头,则替换结果会直接重定向返回客户端

在同一个location中存在的多个rewrite规则会自上而下逐个被检查,可以使用flag控制此循环功能

[flag]:重写完成后停止对当前url在当前location中的后续其他重写操作,改为新的url进行新的一轮处理。

这个状态值有两个阶段,第一阶段是一个正常的返回值200,第二阶段是一个临时的重定向。如果用permanet,返回值就是301,重写后生成一个新的url返回给客户端,有客户端对新url进行请求。

if:只能用在server和location中,条件判断句,在条件满足时,执行配置块终端的配置,引入一个新的配置上下文

condition:比较表达式 == ,!=

~:模式匹配,区分字符大小写

~*:模式匹配,不区分字符大小写

!~:模式不匹配,区分大小写

!~*:模式不匹配,不区分大小写

文件及目录存在性判断:-f,!-f(文件),-e,!-e(存在),-d,!-d(目录),-x,!-x(执行)

return:

return code ;

return code url;

return url;

gzip:过滤,对指定类型的资源压缩传输以节约带宽

gzipcomplevel level;指定压缩比:1-9

gzip,disable regex ……;regex是匹配客户端浏览器类型的模式,表示对所有匹配的浏览器不执行压缩响应。

gzipminlength length;触发启用压缩功能响应报文的最小长度

gziphttpversion 1.0|1.1;设定启用压缩响应功能时协议的最小版本

gziptypes mimetype …;指定仅执行压缩的资源内容类型,默认为text/html;

三、fastcgi模块,LNMP

php编译时要支持fpm;php—fpm工作方式类似于httpd的prefork模式

安装:yum -y install php-fpm php-mysql php-mbstring php-gd php-xml

启动:systemctl start php-fpm.service

修改nginx.conf配置文件

一个动态请求,将请求的变量值保存在前端(nginx)的一个参数里,这个变量值向后端发起请求(代理作用),要通过fastcgi_params这个文件传递,后端主机在什么地方就要改为什么    fastcgi_param

配置如下:

测试代码如下:编辑在/web/html下的info.php文件:<?php phpinfo(); ?>

结果如下:

一下是其他配置项,详情请看官方文档:

文章来源:马哥教育

官方微信:马哥linux运维

技术交流群:485374463

时间: 2024-10-14 11:05:44

Nginx 进阶 (ssl、fpm、rewrite、cache配置等)的相关文章

Nginx URL重写(rewrite)配置及信息详解

Nginx URL重写(rewrite)配置及信息详解 URL重写有利于网站首选域的确定,对于同一资源页面多条路径的301重定向有助于URL权重的集中 Nginx URL重写(rewrite)介绍 和apache等web服务软件一样,rewrite的组要功能是实现RUL地址的重定向.Nginx的rewrite功能需要PCRE软件的支持,即通过perl兼容正则表达式语句进行规则匹配的.默认参数编译nginx就会支持rewrite的模块,但是也必须要PCRE的支持 rewrite是实现URL重写的关

Nginx自签ssl证书创建及配置方法

场景: Nginx使用自签ssl证书实现https连接. 方法: 第一步:使用OpenSSL创建证书 #建立服务器私钥(过程需要输入密码,请记住这个密码)生成RSA密钥 >openssl genrsa -des3 -out server.key 1024 #生成一个证书请求     >openssl req -new -key server.key -out server.csr #需要依次输入国家,地区,组织,email.最重要的是有一个common name,可以写你的名字或者域名.如果为

Centos7+Nginx通过windows CA颁发及配置SSL服务

近期在学习Linux的相关知识,作为一个运维工程师所必备的知识点,一个web服务尤其运行在互联网上的很容易攻击,所以为了保证安全最起码的需要对web服务配置SSL,这样能提高一定的安全性,所以我们今天介绍,Centos7+Nginx通过windows CA颁发及配置SSL服务,当然如果是生成环境的话,一般都会申请第三方证书,比如沃通等第三方证书颁发机构,今天我们主要使用的是内部的windows CA服务为nginx颁发证书,当然也可以使用Nginx的自签名证书,但是那样每次访问都会有相关的警告

nginx ssl单向和双向配置

Nginx配置SSLhttps://coding.net/u/aminglinux/p/nginx/git/blob/master/ssl/nginx.md Nginx配置SSLNginx配置示例(单向) cp /etc/pki/ca_test/server/server.* /usr/local/nginx/conf/{listen 443 ssl;server_name www.aminglinux.com;index index.html index.php;root /data/wwwr

nginx https ssl 设置受信任证书[原创]

1. 安装nginx 支持ssl模块 http://nginx.org/en/docs/configure.html yum -y install openssh openssh-devel (http_ssl_module 模块依赖openssh) ./configure --sbin-path=/usr/local/nginx/nginx --conf-path=/usr/local/nginx/nginx.conf --pid-path=/usr/local/nginx/nginx.pid

nginx:2、ngnix安装及配置详解

大纲 一.前言 二.Nginx 安装与配置 三.Nginx 配置文件详解 四.Nginx 命令参数 五.配置Nginx提供Web服务 六.配置Nginx的虚拟主机 七.配置Nginx的用户认证 八.配置Nginx提供状态页面 九.配置Nginx的错误页面 十.配置Nginx打开目录浏览功能 十一.配置Nginx基于ssl提供https服务 一.前言 在上一篇博文中我们讲解了I/O模型.Web服务器的工作原理及Nginx的基本特性,我们知道Nginx有两个基本功能,一个是作为Web服务器(在这篇博

CentOS+Nginx一步一步开始配置负载均衡

Nginx负载均衡的理解 http://www.linuxdiyf.com/linux/10205.html Nginx是一个轻量级的.高性能的WebServer,他主要可以干下面两件事: 作为http服务器(和apache的效果一样) 作为反向代理服务器实现负载均衡 现在Nginx到处都可以见到,经常会看到宕机后的网页会显示nginx的字样,这也说明Nginx由于高性能.使用配置简.开源单这些特点被越来越多的用户所接受,所使用. 其中第一种作为http服务器,结合php-fpm进程,对发来的请

Nginx学习指南之安装与配置

一.简介 Nginx [engine x]是Igor Sysoev编写的一个HTTP和反向代理服务器,另外它可以作为邮件代理服务器.Nginx已经在众多流量很大的俄罗斯网站上使用了很长时间,这些网站包括Yandex,Mail.Ru.VKontakte,以及Rambler,在国内使用Nginx作为Web Server,Cache Server,Proxy Server网站包括百度,新浪,腾讯,网易,机锋网等,根据Netcraft统计,在2012年8月份,世界上最繁忙的网站中有11.48使用Ngin

nginx 反向代理http和https配置

nginx可以反向代理http,同样也可以代理https,只是需要ssl证书.这里推荐一个好用的证书: https://github.com/Neilpang/acme.sh/wiki/%E8%AF%B4%E6%98%8E 步骤非常详细. 安装nginx 参照: http://mrdeng.blog.51cto.com/3736360/1735313 编译的时候需要制定ssl模块: --with-http_ssl_module ,启用nginx对ssl的支持. 安装完成之后,配置反向代理的ngi