Nginx安装

在 Linux 上安装

在 macOS 上安装

在 Windows 上安装

从源代码构建

从源代码构建 nginx

从源代码构建动态模块

二进制兼容性

签名密钥

测试版

Linux 软件包

Windows 二进制文件

验证下载

基础操作

开始使用

Nginx 配置文件结构

提供静态内容

设置代理服务器

设置 FastCGI 代理

开箱即用的配置

管理员指南

更改配置

控制进程

调试日志

日志到系统日志

配置文件计量单位

命令行参数

适用于 Windows 的 nginx

支持 QUIC 和 HTTP/3

控制 Nginx

启动、停止和重新加载

信号

升级可执行文件

重新加载日志

连接处理方法

事件驱动模型

连接处理

事件模型

性能优化

设置哈希

哈希表

本章节介绍如何配置哈希桶大小。

哈希表优化

调试日志

启用调试日志

调试级别

调试日志轮转

调试日志分析

日志记录到系统日志

配置系统日志

系统日志级别

系统日志格式

系统日志轮转

配置文件计量单位

大小单位

时间单位

其他单位

命令行参数

启动参数

测试配置

信号发送

其他参数

用于 Windows 的 nginx

Windows 版本特性

安装

运行

已知问题

可能的未来增强

支持 QUIC 和 HTTP/3

QUIC 协议

http3-protocol

性能优化

Nginx 如何处理请求

虚拟服务器

配置监听

配置服务器名称

配置请求处理

使用变量

返回特定错误码

重写 URI 请求

重写 HTTP 响应

服务器名称

通配符名称

正则表达式名称

其他名称

优化

兼容性

使用 nginx 作为 HTTP 负载均衡器

负载均衡方法

服务器权重

健康检查

会话保持

配置示例

配置 HTTPS 服务器

HTTPS 服务器

SSL 证书

HTTPS配置优化

配置示例

Nginx 如何处理 TCP/UDP 会话

TCP/UDP 代理

配置示例

负载均衡

健康检查

使用 njs 编写脚本

njs 简介

安装 njs

njs API

配置示例

签名密钥

Nginx 使用 PGP（Pretty Good Privacy）签名来验证下载的软件包的完整性和真实性。

PGP 签名概述

为什么需要签名验证

完整性：确保文件未被篡改
真实性：确认文件来自官方来源
安全性：防止恶意软件注入

签名文件

Nginx 提供两种签名文件：

.asc：ASCII 格式的签名
.sig 或 .gpg：二进制格式签名

安装 GnuPG

Ubuntu/Debian

sudo apt update
sudo apt install gnupg

CentOS/RHEL

sudo yum install gnupg2

macOS

brew install gnupg

Windows

下载并安装 Gpg4win

导入 Nginx 签名密钥

# 下载签名密钥
curl -O https://nginx.org/keys/nginx_signing.key

# 导入密钥
gpg --import nginx_signing.key

# 验证密钥
gpg --list-keys

输出示例：

pub   rsa2048 2011-08-19 [SC]
      B0F4253373F8F5F5ADA8A3BC2FFE8E521A1D9F87
uid           [ unknown] nginx signing key <signing-key@nginx.com>
sub   rsa2048 2011-08-19 [E]

验证下载的文件

验证源代码包

# 下载源代码和签名
wget http://nginx.org/download/nginx-1.24.0.tar.gz
wget http://nginx.org/download/nginx-1.24.0.tar.gz.asc

# 验证签名
gpg --verify nginx-1.24.0.tar.gz.asc nginx-1.24.0.tar.gz

成功输出：

gpg: Signature made Mon 24 Apr 2023 12:34:56 PM UTC
gpg:                using RSA key B0F4253373F8F5F5ADA8A3BC2FFE8E521A1D9F87
gpg: Good signature from "nginx signing key <signing-key@nginx.com>" [unknown]

验证 Linux 软件包

# Ubuntu/Debian
wget http://nginx.org/packages/ubuntu/pool/nginx/n/nginx/nginx_1.24.0-1~jammy_amd64.deb
wget http://nginx.org/packages/ubuntu/pool/nginx/n/nginx/nginx_1.24.0-1~jammy_amd64.deb.asc

# 验证签名
gpg --verify nginx_1.24.0-1~jammy_amd64.deb.asc nginx_1.24.0-1~jammy_amd64.deb

# CentOS/RHEL
wget http://nginx.org/packages/centos/7/x86_64/RPMS/nginx-1.24.0-1.el7.ngx.x86_64.rpm
wget http://nginx.org/packages/centos/7/x86_64/RPMS/nginx-1.24.0-1.el7.ngx.x86_64.rpm.asc

# 验证签名
gpg --verify nginx-1.24.0-1.el7.ngx.x86_64.rpm.asc nginx-1.24.0-1.el7.ngx.x86_64.rpm

验证 Windows 二进制文件

# 下载 Windows 二进制文件和签名
curl -O http://nginx.org/download/nginx-1.24.0.zip
curl -O http://nginx.org/download/nginx-1.24.0.zip.asc

# 验证签名
gpg --verify nginx-1.24.0.zip.asc nginx-1.24.0.zip

验证文件哈希

Nginx 还提供文件的哈希值用于验证：

下载哈希文件

# 下载哈希文件
wget http://nginx.org/download/nginx-1.24.0.tar.gz.md5
wget http://nginx.org/download/nginx-1.24.0.tar.gz.sha1
wget http://nginx.org/download/nginx-1.24.0.tar.gz.sha256

验证哈希

# MD5
md5sum -c nginx-1.24.0.tar.gz.md5

# SHA1
sha1sum -c nginx-1.24.0.tar.gz.sha1

# SHA256
sha256sum -c nginx-1.24.0.tar.gz.sha256

macOS 验证

# MD5
md5 -q nginx-1.24.0.tar.gz | diff - nginx-1.24.0.tar.gz.md5

# SHA256
shasum -a 256 -c nginx-1.24.0.tar.gz.sha256

Windows 验证

# 使用 PowerShell
certutil -hashfile nginx-1.24.0.zip SHA256

签名密钥指纹

Nginx 签名密钥的指纹：

pub   rsa2048 2011-08-19 [SC]
      B0F4253373F8F5F5ADA8A3BC2FFE8E521A1D9F87
uid           [ unknown] nginx signing key <signing-key@nginx.com>
sub   rsa2048 2011-08-19 [E]

指纹：

573B FD6B 3D8F BC64 1079 A6AB ABF5 BD82 7BD9 BF62

信任密钥

# 查看密钥详情
gpg --edit-key B0F4253373F8F5F5ADA8A3BC2FFE8E521A1D9F87

# 在 gpg 提示符中
gpg> fpr
gpg> sign
gpg> save
gpg> quit

更新密钥

# 从密钥服务器更新密钥
gpg --keyserver keys.gnupg.net --recv-keys B0F4253373F8F5F5ADA8A3BC2FFE8E521A1D9F87

# 或使用 hkps://keys.openpgp.org
gpg --keyserver hkps://keys.openpgp.org --recv-keys B0F4253373F8F5F5ADA8A3BC2FFE8E521A1D9F87

删除密钥

# 删除密钥
gpg --delete-key B0F4253373F8F5F5ADA8A3BC2FFE8E521A1D9F87

# 删除密钥和签名
gpg --delete-secret-and-public-key B0F4253373F8F5F5ADA8A3BC2FFE8E521A1D9F87

常见问题

1. 签名验证失败

# 错误信息
gpg: Can't check signature: No public key

# 解决方案
gpg --keyserver keys.gnupg.net --recv-keys B0F4253373F8F5F5ADA8A3BC2FFE8E521A1D9F87

2. 密钥未信任

# 错误信息
gpg: Good signature from "nginx signing key <signing-key@nginx.com>" [unknown]

# 解决方案
# 手动验证指纹后信任密钥
gpg --edit-key B0F4253373F8F5F5ADA8A3BC2FFE8E521A1D9F87
gpg> trust
gpg> 5
gpg> save

3. 文件损坏

# 错误信息
gpg: BAD signature

# 解决方案
# 重新下载文件
wget http://nginx.org/download/nginx-1.24.0.tar.gz

自动化验证脚本

#!/bin/bash

# verify_nginx.sh

FILE=$1
if [ -z "$FILE" ]; then
    echo "Usage: $0 <file>"
    exit 1
fi

# 检查签名文件
if [ ! -f "${FILE}.asc" ]; then
    echo "Signature file not found: ${FILE}.asc"
    exit 1
fi

# 验证签名
gpg --verify "${FILE}.asc" "$FILE"

if [ $? -eq 0 ]; then
    echo "✓ Signature verified successfully"
else
    echo "✗ Signature verification failed"
    exit 1
fi

# 验证哈希
if [ -f "${FILE}.sha256" ]; then
    sha256sum -c "${FILE}.sha256"
    if [ $? -eq 0 ]; then
        echo "✓ SHA256 hash verified successfully"
    else
        echo "✗ SHA256 hash verification failed"
        exit 1
    fi
fi

echo "All verifications passed"

使用：

chmod +x verify_nginx.sh
./verify_nginx.sh nginx-1.24.0.tar.gz

安全建议

始终验证签名：下载后立即验证
使用官方源：只从 nginx.org 下载
检查密钥指纹：确保密钥指纹正确
定期更新密钥：保持密钥最新
使用 HTTPS：确保下载连接安全

上一章：二进制兼容性

下一章：测试版