开箱即用,Nginx不支持TLS,但本文将引导您完成构建Nginx以支持安全协议的过程。
Nginx已经成为一个非常受欢迎的Web服务器。 有充分的理由。 它的速度非常快,并且可以很好地扩展。 然而,使用这个开源Web浏览器的一个注意事项是,它不支持开箱即用的传输层安全性(TLS)。
可以在支持TLS的地方构建Nginx。我将带你完成这样做的过程。我将在Ubuntu Server 18.04/Ubuntu 18.10上演示。该过程完全从命令行处理,不超过30分钟的时间既可以完成。
为何选择TLS?
为什么需要TLS?答案很简单 - 安全性和性能。随着最新版TLS的发布,往返握手更快,更安全。由于新的零往返模式(0-RTT会话恢复),连接时间将大大减少(对移动用户来说是一个很大的改进)。借助Nginx中内置的这种TLS新风格,您可以依赖更安全的平台,这要归功于TLS开发人员还删除了对旧密码套件的支持。
但是你如何将它构建到Nginx中呢?让我们来看看。下面正式开始。
添加官方Nginx存储库
首先要做的是添加官方Nginx存储库。打开终端窗口并发出以下两个命令:
wget http://nginx.org/keys/nginx_signing.key sudo apt-key add nginx_signing.key
接下来,使用以下命令为Nginx创建apt源文件:
sudo nano /etc/apt/sources.list.d/nginx.list
在该新文件中,粘贴以下内容:
deb [arch=amd64] http://nginx.org/packages/mainline/ubuntu/ bionic nginx deb-src http://nginx.org/packages/mainline/ubuntu/ bionic nginx
保存并关闭该文件。
使用以下命令更新apt:
sudo apt update
下载Nginx源代码
现在我们必须下载Nginx源代码。 为此,首先使用以下命令创建一个新目录:
sudo mkdir /usr/local/src/nginx
使用命令cd /usr/local/src/nginx切换到该新目录并发出以下命令:
sudo apt install dpkg-dev sudo apt source nginx
发出ls命令并记下Nginx的版本号(对于我的演示,该数字是1.15.5)。
克隆OpenSSL
现在我们需要从GitHub克隆OpenSSL。 使用以下命令执行此操作:
cd /usr/local/src sudo apt install gitsudo git clone https://github.com/openssl/openssl.git cd openssl
使用git,使用以下命令找出OpenSSL的最新分支:
git branch -a
对于此演示,该分支是1_1_1稳定的。
使用以下命令检出该分支:
sudo git checkout OpenSSL_1_1_1-stable
配置Nginx编译规则
要为Nginx启用SSL,我们必须编辑编译规则。发出命令:
sudo nano /usr/local/src/nginx/nginx-1.15.5/debian/rules
注意:确保使用您下载的Nginx版本。
找到以下行:
config.status.nginx: config.env.nginx
在CFLAGS部分的末尾,添加以下内容:
--with-openssl=/usr/local/src/openssl
以上将在“$(LDFLAGS)”之后直接添加,如下所示:
"$(LDFLAGS)" --with-openssl=/usr/local/src/openssl
保存并关闭该文件。
编译Nginx
在我们构建Nginx之前,我们必须防止构建错误。发出命令:
sudo nano /usr/local/src/nginx/nginx-1.15.5/auto/cc/gcc
找到并注释掉在下一行的开头添加一个#符号:
CFLAGS="$CFLAGS -Werror"
抢先防止构建错误。
保存并关闭该文件。
现在我们开始编译Nginx。使用以下命令切换到Nginx源目录:
cd /usr/local/src/nginx/nginx-1.15.5
使用以下命令构建Nginx依赖项:
sudo apt build-dep nginx
最后,使用以下命令构建Nginx:
sudo dpkg-buildpackage -b -uc -us
上面的命令大约需要10-20分钟,所以要么坐下来观看乐趣,要么照顾其他任务。
安装Nginx
我们现在可以使用以下命令安装支持TLS的Nginx:
cd /usr/local/src/nginx/
sudo dpkg -i nginx_1.15.5-1~bionic_amd64.deb
注意:如果您已安装Nginx,则需要使用命令sudo apt remove nginx nginx-common nginx-full删除它。
命令完成后,发出以下命令以确保构建包含OpenSSL:
sudo nginx -V
您应该看到包含OpenSSL。
OpenSSL已经进入Nginx。
恭喜,TLS现已进入Nginx。下次我们将介绍如何在Nginx服务器块中启用此功能,以便您可以开始使用Nginx提供启用TLS的站点。