Ubuntu Server 18.04上构建支持TLS的Nginx

2022-07-24 13:20:57 浏览数 (1)

开箱即用,Nginx不支持TLS,但本文将引导您完成构建Nginx以支持安全协议的过程。

Nginx已经成为一个非常受欢迎的Web服务器。 有充分的理由。 它的速度非常快,并且可以很好地扩展。 然而,使用这个开源Web浏览器的一个注意事项是,它不支持开箱即用的传输层安全性(TLS)。

可以在支持TLS的地方构建Nginx。我将带你完成这样做的过程。我将在Ubuntu Server 18.04/Ubuntu 18.10上演示。该过程完全从命令行处理,不超过30分钟的时间既可以完成。

为何选择TLS?

为什么需要TLS?答案很简单 - 安全性和性能。随着最新版TLS的发布,往返握手更快,更安全。由于新的零往返模式(0-RTT会话恢复),连接时间将大大减少(对移动用户来说是一个很大的改进)。借助Nginx中内置的这种TLS新风格,您可以依赖更安全的平台,这要归功于TLS开发人员还删除了对旧密码套件的支持。

但是你如何将它构建到Nginx中呢?让我们来看看。下面正式开始。

添加官方Nginx存储库

首先要做的是添加官方Nginx存储库。打开终端窗口并发出以下两个命令:

wget http://nginx.org/keys/nginx_signing.key sudo apt-key add nginx_signing.key

接下来,使用以下命令为Nginx创建apt源文件:

sudo nano /etc/apt/sources.list.d/nginx.list

在该新文件中,粘贴以下内容:

deb [arch=amd64] http://nginx.org/packages/mainline/ubuntu/ bionic nginx deb-src http://nginx.org/packages/mainline/ubuntu/ bionic nginx

保存并关闭该文件。

使用以下命令更新apt:

sudo apt update

下载Nginx源代码

现在我们必须下载Nginx源代码。 为此,首先使用以下命令创建一个新目录:

sudo mkdir /usr/local/src/nginx

使用命令cd /usr/local/src/nginx切换到该新目录并发出以下命令:

sudo apt install dpkg-dev sudo apt source nginx

发出ls命令并记下Nginx的版本号(对于我的演示,该数字是1.15.5)。

克隆OpenSSL

现在我们需要从GitHub克隆OpenSSL。 使用以下命令执行此操作:

cd /usr/local/src sudo apt install gitsudo git clone https://github.com/openssl/openssl.git cd openssl

使用git,使用以下命令找出OpenSSL的最新分支:

git branch -a

对于此演示,该分支是1_1_1稳定的。

使用以下命令检出该分支:

sudo git checkout OpenSSL_1_1_1-stable

配置Nginx编译规则

要为Nginx启用SSL,我们必须编辑编译规则。发出命令:

sudo nano /usr/local/src/nginx/nginx-1.15.5/debian/rules

注意:确保使用您下载的Nginx版本。

找到以下行:

config.status.nginx: config.env.nginx

在CFLAGS部分的末尾,添加以下内容:

--with-openssl=/usr/local/src/openssl

以上将在“$(LDFLAGS)”之后直接添加,如下所示:

"$(LDFLAGS)" --with-openssl=/usr/local/src/openssl

保存并关闭该文件。

编译Nginx

在我们构建Nginx之前,我们必须防止构建错误。发出命令:

sudo nano /usr/local/src/nginx/nginx-1.15.5/auto/cc/gcc

找到并注释掉在下一行的开头添加一个#符号:

CFLAGS="$CFLAGS -Werror"

抢先防止构建错误。

保存并关闭该文件。

现在我们开始编译Nginx。使用以下命令切换到Nginx源目录:

cd /usr/local/src/nginx/nginx-1.15.5

使用以下命令构建Nginx依赖项:

sudo apt build-dep nginx

最后,使用以下命令构建Nginx:

sudo dpkg-buildpackage -b -uc -us

上面的命令大约需要10-20分钟,所以要么坐下来观看乐趣,要么照顾其他任务。

安装Nginx

我们现在可以使用以下命令安装支持TLS的Nginx:

cd /usr/local/src/nginx/

sudo dpkg -i nginx_1.15.5-1~bionic_amd64.deb

注意:如果您已安装Nginx,则需要使用命令sudo apt remove nginx nginx-common nginx-full删除它。

命令完成后,发出以下命令以确保构建包含OpenSSL:

sudo nginx -V

您应该看到包含OpenSSL。

OpenSSL已经进入Nginx。

恭喜,TLS现已进入Nginx。下次我们将介绍如何在Nginx服务器块中启用此功能,以便您可以开始使用Nginx提供启用TLS的站点。 

0 人点赞