Nginx 配置 HTTP 和 HTTPS
Nginx 的配置文件 nginx.conf 中有一些頂級指令(即上下文)用來分組適用於不同流量類型的指令:
- events,通用的連接處理。
- http,HTTP 流量。
- mail,Mail 流量。
- stream,TCP 流量。
放置在這些上下文之外的指令(directives)被認為是放置在主上下文(main context)中。在每個流量處理上下文中,可以放置一個或多個 server 上下文來定義用於控制請求處理的虛擬服務器(virtual servers)。
在 http 上下文中,每個 server 上下文負責對一個特定域名或 IP 地址的資源的請求進行處理,server 上下中的一個或多個 location 上下文用來定義如何處理特定的 URI 集合。
對於 mail 和 stream 上下文,每個 server 上下文負責對特定 TCP 端口或 UNIX 套接字上的流量進行處理。
nginx.conf 配置文件的一個大致框架如下所示:
user nobody; # 位於主上下文的指令 events { # 連接處理的配置 } http { # 對 HTTP 請求的配置,會影響所有的虛擬服務器 server { # 對第一臺 HTTP 虛擬服務器的配置 location /one { # 配置該如何處理以 /one 開始的 URI } } } stream { # 對 TCP 請求的配置,會影響所有的虛擬服務器 server { # 對第一臺 TCP 虛擬服務器的配置 } }
基本配置
在 nginx.conf 文件中的配置可分為三個部分:配置主上下文、配置 events 上下文和配置 http 上下文。
主上下文的配置是全局設置,具體配置如下:
user nginx nginx;
worker_processes 2;
error_log /var/log/nginx/error.log notice;
worker_rlimit_nofile 1024;
- user,指定運行 worker process 的用戶和用戶組,默認由 nginx 用戶運行。
- worker_processes,指定 Nginx 開啟的子進程(worker process)數量。
error_log,指定全局錯誤日誌文件。
根據包含的日誌信息詳細度遞減,分別 debug、info、notice、warn、error 和 crit 級別可供選擇。
worker_rlimit_nofile,指定一個 Nginx 進程最多可打開的文件描述符數量。
Linux 中可打開的文件描述符數量通過 ulimit -n 1024 命令來設置。
events 上下文用來指定 Nginx 的工作模式以及連接上限,具體配置如下:
events {
use epoll;
worker_connections 1024;
}
use,指定 Nginx 的工作模式。
Nginx 支持的工作模式有 select、poll、kqueue、epoll、rtsig 和 /dev/poll。
其中 select 和 poll 是標準工作模式,kqueue 和 epoll 是高效工作模式。
epoll 用於 Linux 平臺上,而 kqueue 則用於 BSD 系統。
worker_connections,指定 Nginx 中每個進程的最大連接數(即接收客戶端的最大請求數)。
最大客戶端連接數由 worker_processes 和 worker_connections 共同決定,即 Max_clients = worker_processes*worker_connections。
進程接受的最大連接數受 Linux 系統進程的最大可打開文件描述符限制,可通過 ulimit 命令來修改。
http 上下文是 Nginx 中最核心的模塊,它負責 HTTP 服務器相關的屬性配置。具體配置如下:
http {
include mime.types;
default_type application/octet-stream;
log_format main ‘$remote_addr - $remote_user [$time_local] "$request" ‘
‘$status $body_bytes_sent "$http_referer" ‘
‘"$http_user_agent" "$http_x_forwarded_for"‘;
access_log /var/log/nginx/access.log main;
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 10;
server {
# 配置 HTTP 虛擬服務器
}
}
- include,包含 /etc/nginx/mime.type 文件,此文件用於設定文件的 mime 類型以便於 Nginx 識別。
default_type,設置默認文件類型為二進制流。
當文件類型在 mime.type 文件中未指定時默認為二進制流,此時訪問該文件,Nginx 不會解析,而是直接下載。
- log_format,設置日誌格式以及記錄哪些信息。
access_log,此 http 上下文中的全局訪問日誌。
後面的 main 指定日誌格式,即使用 log_format 中定義的格式。
sendfile,開啟高效的文件傳輸模式。
設置 tcp_nopush 和 tcp_nodelay 為 on 是為防止網絡阻塞。
keepalive_timeout,設置客戶端連接保持活動的超時時間。
http 中的 server 上下文用於配置 HTTP 虛擬服務器,具體配置如下:
server {
listen 80;
server_name localhost 192.168.0.99 www.hao.com;
root /www/nginx;
index index.html index.jsp;
charset utf-8;
access_log /var/log/nginx/host.access.log main;
error_log /var/log/nginx/host.error.log error;
location / {
# 配置如何處理特定的 URI 集合
}
}
- listen,此虛擬服務器監聽的端口。不同的虛擬服務器可監聽不同的端口。
- server_name,指定 IP 地址或域名。
- root,定義此虛擬服務器的根目錄。
- index,定義此虛擬服務器的默認首頁地址。按序依次訪問定義的文件。
- charset,設置網頁的默認編碼格式。
- access_log,此虛擬服務器的訪問日誌。
- error_log,此虛擬服務器的錯誤日誌。
server 中的 location 上下文用於配置處理特定的 URI 集合,具體配置如下:
location / {
root /home/nginx;
index index.html index.jsp;
}
- location /,匹配訪問路徑為以 / 開始的 URI。
root,以 / 開始的 URI 在當前 location 上下文中的根目錄。
可與 server 上下文中的根目錄相同,也可自定義一個新的根目錄。
index,當前 location 上下文中默認的首頁地址。
HTTPS 配置
客戶端通過 HTTPS 可與服務器進行安全的交互,不用擔心消息會被攔截和讀取。HTTPS 證書用來幫助客戶端核實它們連接的服務器的身份。
服務器證書是一個公共實體,它被發送到連接到服務器的每個客戶端。私鑰則是一個安全實體,應該被存儲到一個受訪問限制的文件中,但是它必須對 Nginx 的主進程可讀。
要使 Nginx 提供 HTTPS 功能,第一步是要創建 SSL 證書。首先在 nginx 的安裝目錄下創建一個 ssl 目錄。
mkdir /etc/nginx/ssl
然後在 ssl 目錄中創建 SSL 證書,如下是創建一個有效期 10 年,加密強度為 RSA2048 SSL 密鑰 nginx.key 和 X509 證書文件 nginx.crt。
openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout nginx.key -out nginx.crt
- -x509 指定使用 X.509 證書簽名請求(Certificate Signing Request,CSR)管理。
- -node 告訴 openssl 在生成證書時忽略密碼環節(此處需要 Nginx 自動讀取此文件,而非是以用戶交互的形式)。
- -day 指定證書的有效期。
- -newkey rsa:2048 表示生成一個新證書和一個新的 SSL key(加密強度為 RSA 2048)。
- -keyout 指定 SSL 輸出文件名。
- -out 指定生成的證書文件名。
執行上述命令後,會要求填入下述信息。
Generating a 2048 bit RSA private key
.....................................+++
...........+++
writing new private key to ‘/etc/nginx/ssl/nginx.key‘
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.‘, the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Beijing
Locality Name (eg, city) [Default City]:Beijing
Organization Name (eg, company) [Default Company Ltd]:hao
Organizational Unit Name (eg, section) []:hao
Common Name (eg, your name or your server‘s hostname) []:www.hao.com
Email Address []:[email protected]
SSL 創建完成後,第二部就是配置 Nginx 使用 SSL。首先是配置將 HTTP 請求的重定向到 HTTPS。
server {
listen 80;
server_name localhost 192.168.0.99 www.hao.com;
# HTTPS 配置
rewrite ^ https://$http_host$request_uri? permanent;
}
rewrite,對 URL 進行重寫。
語法:rewrite 規則 定向路徑 重寫類型;
規則,匹配目標 URL 的字符串或正則表達式。
定向路徑,匹配到規則後要定向的路徑。
$http_host 表示主機地址。
$request_uri 表示 URI。
重寫類型,
last,完成 rewrite 後,瀏覽器地址欄的 URL 不變。
break,本條規則匹配完成後,終止匹配,不再匹配後面的規則,瀏覽器地址欄的 URL 不變。
redirect,返回 302 臨時重定向,瀏覽器地址會顯示跳轉後的 URL。
permanent,返回 301 永久重定向,瀏覽器地址欄會顯示跳轉後的 URL。
然後配置對 HTTPS 請求的處理。
server {
listen 443 ssl;
server_name www.hao.com;
ssl_certificate /etc/nginx/ssl/nginx.crt;
ssl_certificate_key /etc/nginx/ssl/nginx.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;
root /www/nginx/https;
index index.html index.jsp;
keepalive_timeout 70;
server_tokens off;
access_log /var/log/nginx/www.hao.com.access.log;
error_log /var/log/nginx/www.hao.com.error.log;
}
- listen,監聽 443 端口並使用 ssl 參數。
- ssl_certificate,指定服務器證書的路徑。
- ssl_certificate_key,指定私鑰的路徑。
- ssl_protocols,指定 SSL 協議(Nginx 默認使用)。
- ssl_ciphers,以 OpenSSL 庫理解的格式指定密碼(Nginx 默認使用)。
- server_tokens,關閉(顯示)Nginx 版本號。
最後重啟 Nginx 以使用新的配置文件。
service nginx restart
也可配置一個同時處理 HTTP/HTTPS 的服務器,server 上下文中的配置如下:
server {
listen 80;
listen 443 ssl;
server_name 192.168.0.99;
ssl_certificate /etc/nginx/ssl/nginx.crt;
ssl_certificate_key /etc/nginx/ssl/nginx.key;
root /www/nginx;
index index.html index.jsp;
keepalive_timeout 70;
server_tokens off;
access_log /var/log/nginx/www.hao.com.access.log;
error_log /var/log/nginx/www.hao.com.error.log;
}
HTTPS 服務器優化
SSL 連接會占用更多的更多的 CPU 資源(例如 SSL 握手),因此在多處理器系統上,應多運行幾個工作進程(worker process)。有兩種方法可以減少每個客戶端執行 SSL 握手的操作:
- 首先使連接 keep-alive,然後通過一個連接發送多個請求。
- 然後是重用 SSL session 參數,以避免並行和後續連接的 SSL 握手。
Session 存儲在 worker 共享的 SSL session 高速緩存中,並可通過 ssl_session_cache 指令配置。在 http 上下文中對 session 的配置如下所示。
http {
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
}
- ssl_session_cache,指定 SSL 共享緩存的大小為 10M。
- ssl_session_timeout,指定 SSL 共享緩存的超時為 10 mins。
Nginx 配置 HTTP 和 HTTPS