浏览模式: 标准 | 列表分类:nginx

在 NginX 上为证书配置 OCSP Stapling

Submitted by admin on 2017, June 16, 11:21 PM

在 NginX 上为证书配置 OCSP Stapling

https://quchao.com/entry/how-to-configure-ocsp-stapling-on-nginx-for-the-certificates-issued-by-lets-encrypt/

nginx,apache,iis,tomcat

http://blog.csdn.net/aerchi/article/details/72877851

nginx | 评论:0 | Trackbacks:0 | 阅读:195

配置Nginx支持pathinfo模式

Submitted by admin on 2017, April 24, 11:20 PM

让Nginx支持pathinfo

Nginx服务器默认不支持pathinfo, 在需要pathinfo支持的程序中(如thinkphp),则无法支持”/index.php/Home/Index/index”这种网址.

网上流传的解决办法很多,这里提供一种比较简洁的写法(只需要改动2行代码)

典型配置

location ~ \.php$ {     root           html;     fastcgi_pass   127.0.0.1:9000;     fastcgi_index  index.php;     fastcgi_param  SCRIPT_FILENAME  $DOCUMENT_ROOT$fastcgi_script_name;     include        fastcgi_params; }1
2
3
4
5
6
7
1
2
3
4
5
6
7

修改第1,6行,支持pathinfo

location ~ \.php(.*)$ { # 正则匹配.php后的pathinfo部分     root html;     fastcgi_pass   127.0.0.1:9000;     fastcgi_index  index.php;     fastcgi_param  SCRIPT_FILENAME  $DOCUMENT_ROOT$fastcgi_script_name;     fastcgi_param PATH_INFO $1; # 把pathinfo部分赋给PATH_INFO变量     include        fastcgi_params; }

----------

location ~ .php {
　　root "E:\www\wwwroot";
　　fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
　　fastcgi_pass 127.0.0.1:9000;
　　fastcgi_index index.php;
　　include fastcgi_params;
　　#pathinfo support
　　set $real_script_name $fastcgi_script_name;
　　set $path_info ””;
　　if ( $fastcgi_script_name ~ "^(.+?.php)(/.+)$"){
　　set $real_script_name $1;
　　set $path_info $2;
　　}
　　fastcgi_param SCRIPT_NAME $real_script_name;
　　fastcgi_param PATH_INFO $path_info;
}

---------------

location ~ \.php { #去掉$
root H:/PHPServer/WWW;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_split_path_info ^(.+\.php)(.*)$; #增加这一句
fastcgi_param PATH_INFO $fastcgi_path_info; #增加这一句
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}

nginx | 评论:0 | Trackbacks:0 | 阅读:389

php-fpm.conf重要参数详解

Submitted by admin on 2017, April 23, 2:05 PM

 pid = run/php-fpm.pid
#pid设置，默认在安装目录中的var/run/php-fpm.pid，建议开启
 
error_log = log/php-fpm.log
#错误日志，默认在安装目录中的var/log/php-fpm.log
 
log_level = notice
#错误级别. 可用级别为: alert（必须立即处理）, error（错误情况）, warning（警告情况）, notice（一般重要信息）, debug（调试信息）. 默认: notice.
 
emergency_restart_threshold = 60
emergency_restart_interval = 60s
#表示在emergency_restart_interval所设值内出现SIGSEGV或者SIGBUS错误的php-cgi进程数如果超过 emergency_restart_threshold个，php-fpm就会优雅重启。这两个选项一般保持默认值。
 
process_control_timeout = 0
#设置子进程接受主进程复用信号的超时时间. 可用单位: s(秒), m(分), h(小时), 或者 d(天) 默认单位: s(秒). 默认值: 0.
 
daemonize = yes
#后台执行fpm,默认值为yes，如果为了调试可以改为no。在FPM中，可以使用不同的设置来运行多个进程池。 这些设置可以针对每个进程池单独设置。
 
listen = 127.0.0.1:9000
#fpm监听端口，即nginx中php处理的地址，一般默认值即可。可用格式为: 'ip:port', 'port', '/path/to/unix/socket'. 每个进程池都需要设置.
 
listen.backlog = -1
#backlog数，-1表示无限制，由操作系统决定，此行注释掉就行。backlog含义参考：http://www.3gyou.cc/?p=41
 
listen.allowed_clients = 127.0.0.1
#允许访问FastCGI进程的IP，设置any为不限制IP，如果要设置其他主机的nginx也能访问这台FPM进程，listen处要设置成本地可被访问的IP。默认值是any。每个地址是用逗号分隔. 如果没有设置或者为空，则允许任何服务器请求连接
 
listen.owner = www
listen.group = www
listen.mode = 0666
#unix socket设置选项，如果使用tcp方式访问，这里注释即可。
 
user = www
group = www
#启动进程的帐户和组
 
pm = dynamic #对于专用服务器，pm可以设置为static。
#如何控制子进程，选项有static和dynamic。如果选择static，则由pm.max_children指定固定的子进程数。如果选择dynamic，则由下开参数决定：
pm.max_children #，子进程最大数
pm.start_servers #，启动时的进程数
pm.min_spare_servers #，保证空闲进程数最小值，如果空闲进程小于此值，则创建新的子进程
pm.max_spare_servers #，保证空闲进程数最大值，如果空闲进程大于此值，此进行清理
 
pm.max_requests = 1000
#设置每个子进程重生之前服务的请求数. 对于可能存在内存泄漏的第三方模块来说是非常有用的. 如果设置为 '0' 则一直接受请求. 等同于 PHP_FCGI_MAX_REQUESTS 环境变量. 默认值: 0.
 
pm.status_path = /status
#FPM状态页面的网址. 如果没有设置, 则无法访问状态页面. 默认值: none. munin监控会使用到
 
ping.path = /ping
#FPM监控页面的ping网址. 如果没有设置, 则无法访问ping页面. 该页面用于外部检测FPM是否存活并且可以响应请求. 请注意必须以斜线开头 (/)。
 
ping.response = pong
#用于定义ping请求的返回相应. 返回为 HTTP 200 的 text/plain 格式文本. 默认值: pong.
 
request_terminate_timeout = 0
#设置单个请求的超时中止时间. 该选项可能会对php.ini设置中的'max_execution_time'因为某些特殊原因没有中止运行的脚本有用. 设置为 '0' 表示 'Off'.当经常出现502错误时可以尝试更改此选项。
 
request_slowlog_timeout = 10s
#当一个请求该设置的超时时间后，就会将对应的PHP调用堆栈信息完整写入到慢日志中. 设置为 '0' 表示 'Off'
 
slowlog = log/$pool.log.slow
#慢请求的记录日志,配合request_slowlog_timeout使用
 
rlimit_files = 1024
#设置文件打开描述符的rlimit限制. 默认值: 系统定义值默认可打开句柄是1024，可使用 ulimit -n查看，ulimit -n 2048修改。
 
rlimit_core = 0
#设置核心rlimit最大限制值. 可用值: 'unlimited' 、0或者正整数. 默认值: 系统定义值.
 
chroot =
#启动时的Chroot目录. 所定义的目录需要是绝对路径. 如果没有设置, 则chroot不被使用.
 
chdir =
#设置启动目录，启动时会自动Chdir到该目录. 所定义的目录需要是绝对路径. 默认值: 当前目录，或者/目录（chroot时）
 
catch_workers_output = yes
#重定向运行过程中的stdout和stderr到主要的错误日志文件中. 如果没有设置, stdout 和 stderr 将会根据FastCGI的规则被重定向到 /dev/null . 默认值: 空.


http://www.cnblogs.com/argb/p/3604340.html

nginx | 评论:0 | Trackbacks:0 | 阅读:268

Nginx一个server主机上80、433http、https共存

Submitted by admin on 2017, April 22, 8:28 PM

如果一站点既要80 http访问，又要443https访问。

要让https和http并存，不能在配置文件中使用ssl on，配置listen 443 ssl;

实例

server
{

listen 80;
listen 443 ssl;
server_name www.iamle.com;
index index.html index.htm index.php;
root /home/wwwroot/www.iamle.com/;
#ssl on; 这里要注释掉
ssl_certificate /usr/local/nginx/conf/www_iamle_com.crt;
ssl_certificate_key /usr/local/nginx/conf/www_iamle_com.key;

#以下配置省略

}

nginx | 评论:0 | Trackbacks:0 | 阅读:295

nginx 80端口重定向到443 http访问自动跳转到https

Submitted by admin on 2017, April 22, 8:27 PM

分享nginx下http访问自动跳转到https上，即nginx 80端口重定向到443端口。配置如下：

一、按照如下格式修改nginx.conf 配置文件，80端口会自动转给443端口，这样就强制使用SSL证书加密了。访问http的时候会自动跳转到https上面。

server {
listen 80;
server_name www.域名.com;
rewrite ^(.*) https://$server_name$1 permanent;
}
server {
listen 443;
server_name www.域名.com;
root /home/www;
ssl on;
ssl_certificate /etc/nginx/certs/server.crt;
ssl_certificate_key /etc/nginx/certs/server.key;
}

二、修改配置文件后，重启nginx。

nginx | 评论:0 | Trackbacks:0 | 阅读:229

Nginx支持多域名ssl证书

Submitted by admin on 2017, April 12, 10:05 PM

接下来我们详细叙述一下能让nginx支持多域名证书的过程，主要分为如下两个大步骤：编译安装openssl和编译安装nginx（nginx平滑升级，不影响业务）。

一、编译安装openssl

wget http://www.openssl.org/source/openssl-0.9.8l.tar.gz

tar zxvf ./openssl-0.9.8l.tar.gz

cd ./openssl-0.9.8l

#编译的时候需要加上enable-tl***t参数

./config enable-tl***t

make

make install

二、编译安装nginx（nginx平滑升级）

tar xzvf nginx-1.0.12.tar.gz

cd nginx-1.0.12

#备份原来的nginx配置

mv /usr/local/nginx /usr/local/nginx_old

#安装nginx

./configure --prefix=/usr/local/nginx --with-http_ssl_module --with-http_gzip_static_module --with-http_stub_status_module --with-openssl=../openssl-0.9.8l/

make;make install

cd /usr/local/nginx

#备份新安装的配置目录

mv conf conf_bak

mv logs logs_bak

#拷贝原来的配置文件目录

cp -ar /usr/local/nginx_old/conf .

cp -ar /usr/local/nginx_old/logs .

#测试配置文件

/usr/local/nginx/sbin/nginx -t

#查找nginx主进程

ps -ef | grep "nginx: master process" | grep -v "grep" | awk -F ' ' '{print $2}'

#执行切换操作

kill -USR2 912

kill -WINCH 912

kill -QUIT 912

安装完成使用/usr/local/nginx/sbin/nginx -V查看一下是否支持TLS SNI，检测如下：

nginx version: nginx/1.0.12

TLS SNI support enabled

configure arguments: --prefix=/usr/local/nginx --with-http_ssl_module --with-http_gzip_static_module --with-http_stub_status_module --with-openssl=../openssl-0.9.8l/

Ok，显示已经支持了TLS SNI，在输入https访问，终于能显示正确的证书了！注意目前如果使用xp上的IE去访问的话还是会提示证书有问题，因为xp上任何版本的IE都不支持TLS SNI。

这里说下Linux 系统怎么通过openssl命令生成证书。

首先执行如下命令生成一个key
openssl genrsa -des3 -out ssl.key 1024
然后他会要求你输入这个key文件的密码。不推荐输入。因为以后要给nginx使用。每次reload nginx配置时候都要你验证这个PAM密码的。
由于生成时候必须输入密码。你可以输入后再删掉。

mv ssl.key xxx.key
openssl rsa -in xxx.key -out ssl.key
rm xxx.key
然后根据这个key文件生成证书请求文件
openssl req -new -key ssl.key -out ssl.csr
以上命令生成时候要填很多东西一个个看着写吧（可以随便，毕竟这是自己生成的证书）

最后根据这2个文件生成crt证书文件
openssl x509 -req -days 365 -in ssl.csr -signkey ssl.key -out ssl.crt
这里365是证书有效期推荐3650哈哈。这个大家随意。最后使用到的文件是key和crt文件。

如果需要用pfx 可以用以下命令生成
openssl pkcs12 -export -inkey ssl.key -in ssl.crt -out ssl.pfx

在需要使用证书的nginx配置文件的server节点里加入以下配置就可以了。
ssl on;
ssl_certificate /home/ssl.crt;
ssl_certificate_key /home/ssl.key;
ssl_session_timeout 5m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;
然后重启nginx就大功告成了

nginx | 评论:0 | Trackbacks:0 | 阅读:276

nginx.conf负载均衡

Submitted by admin on 2016, December 16, 11:06 AM

upstream nginx{

server 192.168.1.10:88 weight=3;

server 192.168.1.11:80 weight=10;

ip_hash;

}

server{

listen 80;

server_name nginx.test.wdlinux.cn;

location / {

index index.html;

root /usr/html;

proxy_pass http://nginx;

proxy_set_header Host $host;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

}

# hash $cookie_jsessionid;

hash $remote_addr consistent;

server 192.168.142.128:8080 weight=3;

server 192.168.142.129:80 weight=10;

# hash $cookie_jsessionid;

# server 192.168.142.130:80;

# ip_hash;

# hash_again 1;

# consistent_hash $remote_addr：可以根据客户端ip映射

# consistent_hash $request_uri：根据客户端请求的uri映射

# consistent_hash $args：根据客户端携带的参数进行映射

nginx | 评论:0 | Trackbacks:0 | 阅读:332

nginx升级181

Submitted by admin on 2016, December 16, 11:00 AM

wget http://nginx.org/download/nginx-1.8.1.tar.gz

tar zxvf nginx-1.8.1.tar.gz

cd nginx-1.8.1

./configure --user=www --group=www --prefix=/www/wdlinux/nginx-1.8.1 --with-http_stub_status_module --with-http_ssl_module

make

make install

cd /www/wdlinux/nginx/conf/

cp -pR vhost/ rewrite/ nginx.conf naproxy.conf /www/wdlinux/nginx-1.8.1/conf/

cd /www/wdlinux/

service nginxd stop

rm nginx

ln -s /www/wdlinux/nginx-1.8.1 /www/wdlinux/nginx

service nginxd restart

nginx | 评论:0 | Trackbacks:0 | 阅读:282

Records:3012 3 4 ›

meisw's blog