Nginx安装、用户认证、Nginx虚拟主机、对称密钥、非对称密钥、HTTPS加密网站
1 环境准备
使用了最小化的系统,需要提前安装一些常用工具
yum -y install vim #安装vim编辑器
yum list | grep bash #查询名字和bash有关的软件包
yum -y install bash-completion #安装支持tab键的软件包,装好之后,使用exit退出,重新登录才生效
Yum -y install net-tools #安装网络相关软件包
yum -y install tar #安装支持tar命令的软件
然后将lnmp_soft.tar.gz 传入虚拟机的root家目录
情况一,教室环境:
scp $教学资料目录/lnmp_soft.tar.gz 192.168.99.5:
情况二,非教室环境:
使用WindTerm或MobaXterm等工具拖拽2 案例1:搭建Nginx服务器
2.1 问题
在IP地址为192.168.99.5的主机上安装部署Nginx服务,并可以将Nginx服务器,要求编译时启用如下功能:
- 支持SSL加密功能
- 设置Nginx账户及组名称均为nginx
然后客户端访问页面验证Nginx Web服务器:
- 使用火狐浏览器访问
- 使用curl访问
2.2 方案
提前准备运维课程所需的所有虚拟机,为后续所有实验做准备
第一天课程需要使用2台虚拟机,其中一台作为Nginx服务器(proxy)、另外一台作为测试用的客户机(client)
2.3 步骤
实现此案例需要按照如下步骤进行。
步骤一:构建Nginx服务器
1)使用源码包安装nginx软件包
[root@proxy ~]# yum -y install gcc make #安装编译工具
[root@proxy ~]# yum -y install pcre-devel #正则表达式依赖包
[root@proxy ~]# yum -y install openssl-devel #SSL加密依赖包
[root@proxy ~]# tar -xf nginx-1.22.1.tar.gz
[root@proxy ~]# cd nginx-1.22.1
[root@proxy nginx-1.22.1]# ./configure \
--prefix=/usr/local/nginx \ #指定安装路径
--user=nginx \ #指定用户
--group=nginx \ #指定组
--with-http_ssl_module #开启SSL加密功能
[root@proxy nginx-1.22.1]# make #编译
[root@proxy nginx-1.22.1]# make install #安装
cd /usr/local/nginx/ #切换目录
ls /usr/local/nginx/ #查看目录conf 配置文件 sbin 主程序
html 网站页面 logs 日志
2)nginx命令的用法
[root@proxy nginx]# useradd -s /sbin/nologin nginx
/usr/local/nginx/sbin/nginx #启动服务
/usr/local/nginx/sbin/nginx -s stop #关闭服务
/usr/local/nginx/sbin/nginx -s reload #重新加载配置文件
/usr/local/nginx/sbin/nginx -V #查看软件信息ss命令可以查看系统中启动的端口信息,该命令常用选项如下:
-a显示所有端口的信息
-n以数字格式显示端口号
-t显示TCP连接的端口
-u显示UDP连接的端口
[root@proxy nginx]#echo "abc-test~~~" > html/abc.html #创建新页面-l显示服务正在监听的端口信息,如httpd启动后,会一直监听80端口
-p显示监听端口的服务名称是什么(也就是程序名称)
nginx服务默认通过TCP 80端口监听客户端请求:
[root@proxy nginx]# ss -anptu | grep nginx步骤二:客户端访问测试
Nginx服务默认首页文档存储目录为/usr/local/nginx/html/,在此目录下默认有一个名为index.html的文件,使用客户端访问测试页面:
systemctl stop firewalld #关闭防火墙
[root@client ~]# curl http://192.168.88.5 #如果没有client则访问192.168.99.5
Welcome to nginx!
...另外使用火狐浏览器访问
3 测试页面
1)测试网站自定义页面:
[root@proxy nginx]#echo "abc-test~~~" > html/abc.html #创建新页面http://192.168.99.5/abc.html #访问新页面
火狐访问192.168.99.5/abc.html #如果无效,可以按ctrl+f5强制刷新
2)测试成品网站页面:
[root@proxy nginx]# yum -y install unzip #安装解压缩工具
[root@proxy nginx]# unzip ~/lnmp_soft/www_template.zip #解压缩网站模板
[root@proxy nginx]# cp -r www_template/* html/ #拷贝网站模板文件到nginx的网页目录,如果有覆盖提示就输入 y 回车最后火狐访问192.168.99.5
4 案例2:用户认证
4.1 问题
沿用练习一,通过调整Nginx服务端配置,实现以下目标:
- 访问Web页面需要进行用户认证
- 用户名为:tom,密码为:123456
4.2 方案
通过Nginx实现Web页面的认证,需要修改Nginx配置文件,在配置文件中添加auth语句实现用户认证。最后使用htpasswd命令创建用户及密码即可,效果如图-1所示。
4.3 步骤
实现此案例需要按照如下步骤进行。
步骤一:修改Nginx配置文件
1)修改/usr/local/nginx/conf/nginx.conf
[root@proxy nginx]# vim /usr/local/nginx/conf/nginx.conf
.. ..
server {
listen 80;
server_name localhost;
auth_basic "Input Password:"; #认证提示符信息
auth_basic_user_file "/usr/local/nginx/pass"; #认证的密码文件
location / {
root html;
index index.html index.htm;
}
}2)生成密码文件,创建用户及密码
使用htpasswd命令创建账户文件,需要确保系统中已经安装了httpd-tools。
[root@proxy nginx]# yum -y install httpd-tools
[root@proxy nginx]# htpasswd -c /usr/local/nginx/pass tom #创建密码文件
New password:
Re-type new password:
Adding password for user tom3)重新加载配置
[root@proxy nginx]# /usr/local/nginx/sbin/nginx -s reload #重新加载配置文件
#请先确保nginx是启动状态,否则运行该命令会报错,报错信息如下:
#[error] open() "/usr/local/nginx/logs/nginx.pid" failed (2: No such file or directory)步骤二:客户端测试
打开浏览器访问http://192.168.99.5。
可以看到用户名与密码的对话框,需要通过认证才能看到网页内容
2)追加账户
htpasswd /usr/local/nginx/pass jerry #追加用户,不使用-c选项
New password:
Re-type new password:
Adding password for user jerry
[root@proxy ~]# cat /usr/local/nginx/pass5 案例3:基于域名的虚拟主机
5.1 问题
配置基于域名的虚拟主机,实现两个基于域名的虚拟主机,域名分别为www.a.com和www.b.com
5.2 步骤
实现此案例需要按照如下步骤进行。
步骤一:修改配置文件
1)修改Nginx服务配置,添加相关虚拟主机配置如下
[root@proxy nginx]# vim /usr/local/nginx/conf/nginx.conf
http {
.. ..
server {
listen 80; #端口
server_name www.b.com; #新虚拟主机定义域名
location / {
root html_b; #指定网站根路径
index index.html index.htm; #默认页面
}
}
server {
listen 80; #端口
server_name www.a.com; #默认的虚拟主机,修改域名
location / {
root html; #指定网站根路径
index index.html index.htm;
}
}
}2)创建网站根目录及对应首页文件
sbin/nginx -s reload #之后重新加载配置文件,服务必须是开启状态
[root@proxy nginx]# mkdir html_b #创建b网站的目录
echo "nginx-A~~~" > html/index.html #创建a网站测试页
echo "nginx-B~~~" > html_b/index.html #创建b网站测试页
vim /etc/hosts #修改hosts文件添加ip和域名的映射关系
192.168.99.5 www.a.com www.b.com
curl www.a.com #检测a网站或b网站都可以看到页面另外:
windows环境配置hosts文件
C:\Windows\System32\drivers\etc\hosts
右键---属性---安全---编辑---users---完全控制打钩
然后用文本打开hosts,在最后添加
192.168.99.5 www.a.com www.b.com
步骤三:其他类型的虚拟主机(选做)
1.基于端口的虚拟主机(参考模板)
server {
listen 8080; #端口
server_name www.a.com; #域名
......
}
server {
listen 8000; #端口
server_name www.a.com; #域名
.......
}2.基于IP的虚拟主机(参考模板)
server {
listen 192.168.88.5:80; #IP地址与端口
server_name www.a.com; #域名
... ...
}
server {
listen 192.168.99.5:80; #IP地址与端口
server_name www.a.com;
... ...
}6 案例4:SSL虚拟主机
6.1 问题
配置基于加密网站的虚拟主机,实现以下目标:
- 该站点通过https访问
- 通过私钥、证书对该站点所有数据加密
6.2 方案
源码安装Nginx时必须使用--with-http_ssl_module参数,启用加密模块,对于需要进行SSL加密处理的站点添加ssl相关指令(设置网站需要的私钥和证书)。
加密算法一般分为对称算法、非对称算法、信息摘要。
对称算法有:AES、DES,主要应用在单机数据加密。
非对称算法有:RSA、DSA,主要应用在网络数据加密。
信息摘要:MD5、sha256,主要应用在数据完整性校验。
6.3 步骤
实现此案例需要按照如下步骤进行。
步骤一:配置SSL虚拟主机
1)修改Nginx配置文件,设置加密网站的虚拟主机
[root@proxy nginx]#vim /usr/local/nginx/conf/nginx.conf
… …
server {
listen 443 ssl;
server_name localhost;
ssl_certificate cert.pem; #这里是证书文件
ssl_certificate_key cert.key; #这里是私钥文件
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
root https; #加密网站根目录
index index.html index.htm;
}
}2)生成私钥与证书
[root@proxy nginx]#openssl genrsa > conf/cert.key #生成私钥
[root@proxy nginx]#openssl req -x509 -key conf/cert.key > conf/cert.pem #生成证书,生成过程会询问诸如你在哪个国家之类的问题,可以随意回答
Country Name (2 letter code) [XX]:dc 国家名
State or Province Name (full name) []:dc 省份
Locality Name (eg, city) [Default City]:dc 城市
Organization Name (eg, company) [Default Company Ltd]:dc 公司
Organizational Unit Name (eg, section) []:dc 部门
Common Name (eg, your name or your server's hostname) []:dc 服务器名称
Email Address []:[email protected] 电子邮件3)重新加载配置
步骤二:客户端验证
[root@proxy nginx]# mkdir https #创建安全网站的目录
[root@proxy nginx]# echo "https~~~~ " > https/index.html #创建安全网站的页面
[root@proxy nginx]# sbin/nginx #服务没开的话开服务
[root@proxy nginx]# sbin/nginx -s reload #已经开了的话重加载配置
[root@proxy nginx]# curl -k https://192.168.99.5 #检验,-k是忽略安全风险
https~~~~ #看到这个内容就说明实验成功
[root@proxy nginx]# systemctl stop firewalld #如果用真机的火狐浏览器测试需要
关闭防火墙,然后输入https://192.168.99.5