Nginx安裝與升級 Nginx服務(wù)器 Nginx虛擬主機(jī) 、 HTTPS加密網(wǎng)站的學(xué)習(xí)

時(shí)間：2023-07-14 11:39:01 | 來源：網(wǎng)站運(yùn)營

時(shí)間：2023-07-14 11:39:01 來源：網(wǎng)站運(yùn)營

Nginx安裝與升級 Nginx服務(wù)器 Nginx虛擬主機(jī) 、 HTTPS加密網(wǎng)站的學(xué)習(xí)：我的知識：

Nignx是一款輕量級，高并發(fā)量的Web服務(wù)器,也可以做反向代理服務(wù)器。

對于Nignx的安裝，無非裝包、配置、起服務(wù)?？梢酝ㄟ^Yum去下載Nginx的包，由于Nginx不是通過源碼安裝的包，可以用 nginx -V 查看配置文件在那里，都開了哪些模塊.如果是通過源碼包安裝的，需要給Nginx指定用戶與用戶組，否則會用root用戶，這樣的話，Nignx會有很大的權(quán)限，別人可以通過Nginx來攻擊你的服務(wù)器。

對于升級Nignx服務(wù)器，如果是通過編譯安裝最新的源碼包，先把..../bin/nginx 移動到其它地方，移動的時(shí)候順便重命名；再把安裝好的.../nginx 移動到 ..../bin/下，然后killall nginx,再啟動。

Nignx虛擬主機(jī)，虛擬主機(jī)是可以基于端口、IP、域名進(jìn)行解析的。

HTTPS加密網(wǎng)站，用戶通過訪問頁面，需要提供密碼方可訪問。

材料知識：

Nginx 是俄羅斯人編寫的輕量級的HTTP服務(wù)器，是一個高性能的HTTP服務(wù)器和反向代理服務(wù)器，同時(shí)也是一個IMAP/POP3/SMTP代理服務(wù)器。

如果是通過源碼包安裝的話，需要下載依賴包 gcc pcre-devel openssl-devel。

netstat -anultp | grep :80

查看Nginx是否啟動，-a 顯示所有端口的信息 -n 以數(shù)字格式顯示端口 -u 顯示UDP連接的端口 -l 顯示服務(wù)正在監(jiān)聽的端口信息 -t 顯示TCP連接的端口 -p 顯示監(jiān)聽端口的服務(wù)名稱是什么

在虛擬機(jī)練習(xí)Nginx的安裝的時(shí)候，防火墻和SELinux 需要關(guān)閉。如果不關(guān)，需要通過該防火墻的策略與SELinux的配置，才允許Nginx運(yùn)行。

通過Nginx實(shí)現(xiàn)Web頁面的認(rèn)證，需要修改Nginx配置文件，在配置文件中添加auth語句實(shí)現(xiàn)用戶認(rèn)證。最后使用htpasswd命令創(chuàng)建用戶及密碼即可。

SSL虛擬主機(jī)：源碼安裝Nginx時(shí)必須使用--with-http_ssl_module參數(shù)，啟用加密模塊，對于需要進(jìn)行SSL加密處理的站點(diǎn)添加ssl相關(guān)指令（設(shè)置網(wǎng)站需要的私鑰和證書）。

簡單的未知領(lǐng)域：

Nginx是一款輕量級的Web服務(wù)器/反向代理服務(wù)器及電子郵件(IMAP/POP3)代理服務(wù)器，并在一個BSD-like 協(xié)議下發(fā)行。其特點(diǎn)是占有內(nèi)存少，并發(fā)能力強(qiáng)，事實(shí)上nginx的并發(fā)能力確實(shí)在同類型的網(wǎng)頁服務(wù)器中表現(xiàn)較好，中國大陸使用nginx網(wǎng)站用戶有:百度、京東、新浪、網(wǎng)易、騰訊、淘寶等。

虛擬主機(jī)，是在網(wǎng)絡(luò)服務(wù)器上劃分出一定的磁盤空間供用戶放置站點(diǎn)、應(yīng)用組件等，提供必要的站點(diǎn)功能與數(shù)據(jù)存放、傳輸功能。

SSL(Secure Sockets Layer 安全套接層)協(xié)議,及其繼任者TLS（Transport Layer Security傳輸層安全）協(xié)議，是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。

SSL 證書就是遵守 SSL協(xié)議的服務(wù)器數(shù)字證書，由受信任的證書頒發(fā)機(jī)構(gòu)（CA機(jī)構(gòu)），驗(yàn)證服務(wù)器身份后頒發(fā)，部署在服務(wù)器上，具有網(wǎng)站身份驗(yàn)證和加密傳輸雙重功能。

技術(shù)分析
為什么我不能在相同IP地址下多個域名的虛擬主機(jī)上使用SSL?
這個問題十分專業(yè)，有些像“先有雞還是先有蛋”的問題。SSL協(xié)議層是在HTTP協(xié)議層下面的，當(dāng)SSL連接建立時(shí)，SSL模塊在Web模塊之前和 瀏覽器進(jìn)行通訊并交換證書、建立加密隧道。眾所周知，Web服務(wù)器是通過HTTP數(shù)據(jù)包中的”Host”字段來區(qū)分虛擬主機(jī)的。而SSL模塊在把服務(wù)器證 書發(fā)送到瀏覽器時(shí)，還沒有收到任何關(guān)于HTTP的數(shù)據(jù)包，更不知道虛擬主機(jī)的域名，因此SSL模塊只能固定的將一張SSL證書發(fā)送到瀏覽器，而不能根據(jù)域 名有選擇性的發(fā)送證書。因此，您無法在一個IP地址的默認(rèn)SSL 443端口下為多個虛擬主機(jī)配置多張證書。
由于一個IP與一個端口號只能對應(yīng)一張證書，因此我們可以采用以下方式來解決：
1、為需要SSL加密的虛擬主機(jī)配置不同的IP地址，端口號都使用443。例如： http://www.domain1.com 的SSL使用 202.96.101.1:443 http://www.domain2.com的SSL使用 202.96.101.2:443，通過 https://www.domain1.com 和 https://www.domain2.com 訪問這2個SSL網(wǎng)站了
2、如果只有一個IP地址，可以為多個網(wǎng)站配置不同的SSL端口。例如： http://www.domain1.com 的SSL使用 202.96.101.1:443 http://www.domain2.com的SSL使用 202.96.101.1:1000，通過 https://www.domain1.com 和 https://www.domain2.com:1000 訪問這2個SSL網(wǎng)站了
如果多個虛擬主機(jī)是1個主域名下的多個子域名，情況發(fā)生了轉(zhuǎn)變，因?yàn)槟憧梢陨暾埻ㄅ浞鸖SL證書。
例如： 有2個虛擬主機(jī) http://abc.domain.com、http://xyz.domain.com，你申請一張 *.http://domain.com的證書，按照前面所說的原理，2個虛擬主機(jī)都使用同一個IP和默認(rèn)的443端口，當(dāng)瀏覽器訪問IP:443端口時(shí)，SSL模塊把 通配符SSL證書傳送給瀏覽器，建立合法的SSL隧道，然后WEB模塊接收到HTTP數(shù)據(jù)包時(shí)判斷域名選擇虛擬主機(jī)。
原理是OK的，不幸的是你無法按照這個原理對IIS進(jìn)行配置，IIS不支持SSL端口配置域名。如果僅依靠IIS，你不得不使用上面的2個方法(不同的IP地址或者不同的端口號)。
如果僅有1個IP地址，采用方法2時(shí)，http://abc.domain.com 使用 443端口、http://xyz.domain.com使用1000端口，你會發(fā)現(xiàn)一個現(xiàn)象，由于SSL端口不區(qū)分域名，因此 https://abc.domain.com還是https://xyz.domain.com都是指向http://abc.domain.com網(wǎng)站內(nèi)容，而 https://abc.domain.com:1000還是https://xyz.domain.com:1000都是指向 http://xyz.domain.com網(wǎng)站內(nèi)容的。當(dāng)然這也有好處，你可以在http://abc.domain.com下放一個程序，程序判斷一下域名，如果用戶訪問 https://xyz.domain.com就馬上跳轉(zhuǎn)到https://xyz.domain.com:1000，不會有任何的安全警告。
幸運(yùn)的是，通過SSL反向代理服務(wù)器，你可以解決這個問題。就是使用第三方的SSL模塊來替代IIS處理SSL加密，將證書安裝反向代理服務(wù)器中， 瀏覽器訪問SSL反向代理服務(wù)器，然后反向代理服務(wù)器使用HTTP協(xié)議訪問你的Web服務(wù)器。你可以選擇SSL反向代理硬軟件有： 1、支持SSL的負(fù)載均衡器，如F5、ArrayNetworks
2、使用ISA Server 2004軟件。
3、使用免費(fèi)的Squid軟件。
4、使用免費(fèi)的Stunnel軟件。
5、使用PortTunnel軟件。

延伸未知領(lǐng)域：

除了Nginx服務(wù)器，還有哪些Web服務(wù)器？它們之間有什么相同與不同？