Nginx安装
在 Linux 上安装
在 macOS 上安装
在 Windows 上安装
从源代码构建
从源代码构建 nginx
从源代码构建动态模块
二进制兼容性
签名密钥
测试版
Linux 软件包
Windows 二进制文件
验证下载
基础操作
开始使用
Nginx 配置文件结构
提供静态内容
设置代理服务器
设置 FastCGI 代理
开箱即用的配置
管理员指南
更改配置
控制进程
调试日志
日志到系统日志
配置文件计量单位
命令行参数
适用于 Windows 的 nginx
支持 QUIC 和 HTTP/3
控制 Nginx
启动、停止和重新加载
信号
升级可执行文件
重新加载日志
连接处理方法
事件驱动模型
连接处理
事件模型
性能优化
设置哈希
哈希表
本章节介绍如何配置哈希桶大小。
哈希表优化
调试日志
启用调试日志
调试级别
调试日志轮转
调试日志分析
日志记录到系统日志
配置系统日志
系统日志级别
系统日志格式
系统日志轮转
配置文件计量单位
大小单位
时间单位
其他单位
命令行参数
启动参数
测试配置
信号发送
其他参数
用于 Windows 的 nginx
Windows 版本特性
安装
运行
已知问题
可能的未来增强
支持 QUIC 和 HTTP/3
QUIC 协议
http3-protocol
性能优化
Nginx 如何处理请求
虚拟服务器
配置监听
配置服务器名称
配置请求处理
使用变量
返回特定错误码
重写 URI 请求
重写 HTTP 响应
服务器名称
通配符名称
正则表达式名称
其他名称
优化
兼容性
使用 nginx 作为 HTTP 负载均衡器
负载均衡方法
服务器权重
健康检查
会话保持
配置示例
配置 HTTPS 服务器
HTTPS 服务器
SSL 证书
HTTPS配置优化
配置示例
Nginx 如何处理 TCP/UDP 会话
TCP/UDP 代理
配置示例
负载均衡
健康检查
使用 njs 编写脚本
njs 简介
安装 njs
njs API
配置示例
  1. Nginx基础文档
  2. Nginx安装
  3. 验证下载

验证下载

下载 Nginx 后,验证文件的完整性和真实性非常重要,可以确保文件未被篡改且来自官方来源。

验证方法

1. PGP 签名验证

使用 PGP 签名验证文件的真实性。

安装 GnuPG

Linux:

# Ubuntu/Debian
sudo apt install gnupg

# CentOS/RHEL
sudo yum install gnupg2

# Alpine
sudo apk add gnupg

macOS:

brew install gnupg

Windows:

下载并安装 Gpg4win

导入 Nginx 签名密钥

# 下载签名密钥
curl -O https://nginx.org/keys/nginx_signing.key

# 导入密钥
gpg --import nginx_signing.key

# 验证密钥
gpg --list-keys

输出示例:

pub   rsa2048 2011-08-19 [SC]
      B0F4253373F8F5F5ADA8A3BC2FFE8E521A1D9F87
uid           [ unknown] nginx signing key <signing-key@nginx.com>
sub   rsa2048 2011-08-19 [E]

验证签名

# 下载文件和签名
wget http://nginx.org/download/nginx-1.24.0.tar.gz
wget http://nginx.org/download/nginx-1.24.0.tar.gz.asc

# 验证签名
gpg --verify nginx-1.24.0.tar.gz.asc nginx-1.24.0.tar.gz

成功输出:

gpg: Signature made Mon 24 Apr 2023 12:34:56 PM UTC
gpg:                using RSA key B0F4253373F8F5F5ADA8A3BC2FFE8E521A1D9F87
gpg: Good signature from "nginx signing key <signing-key@nginx.com>" [unknown]

2. 哈希值验证

使用文件的哈希值验证完整性。

下载哈希文件

# 下载哈希文件
wget http://nginx.org/download/nginx-1.24.0.tar.gz.md5
wget http://nginx.org/download/nginx-1.24.0.tar.gz.sha1
wget http://nginx.org/download/nginx-1.24.0.tar.gz.sha256

验证 MD5

Linux:

md5sum -c nginx-1.24.0.tar.gz.md5

macOS:

md5 -q nginx-1.24.0.tar.gz | diff - nginx-1.24.0.tar.gz.md5

Windows (PowerShell):

$hash = (Get-FileHash nginx-1.24.0.tar.gz -Algorithm MD5).Hash.ToLower()
$expected = (Get-Content nginx-1.24.0.tar.gz.md5).Split()[0]
if ($hash -eq $expected) {
    Write-Host "MD5 verification passed"
} else {
    Write-Host "MD5 verification failed"
}

验证 SHA1

Linux:

sha1sum -c nginx-1.24.0.tar.gz.sha1

macOS:

shasum -a 1 -c nginx-1.24.0.tar.gz.sha1

Windows (PowerShell):

$hash = (Get-FileHash nginx-1.24.0.tar.gz -Algorithm SHA1).Hash.ToLower()
$expected = (Get-Content nginx-1.24.0.tar.gz.sha1).Split()[0]
if ($hash -eq $expected) {
    Write-Host "SHA1 verification passed"
} else {
    Write-Host "SHA1 verification failed"
}

验证 SHA256(推荐)

Linux:

sha256sum -c nginx-1.24.0.tar.gz.sha256

macOS:

shasum -a 256 -c nginx-1.24.0.tar.gz.sha256

Windows (PowerShell):

$hash = (Get-FileHash nginx-1.24.0.tar.gz -Algorithm SHA256).Hash.ToLower()
$expected = (Get-Content nginx-1.24.0.tar.gz.sha256).Split()[0]
if ($hash -eq $expected) {
    Write-Host "SHA256 verification passed"
} else {
    Write-Host "SHA256 verification failed"
}

3. 手动计算哈希

如果哈希文件不可用,可以手动计算并对比。

Linux/macOS

# MD5
md5sum nginx-1.24.0.tar.gz

# SHA1
sha1sum nginx-1.24.0.tar.gz

# SHA256
sha256sum nginx-1.24.0.tar.gz

Windows (PowerShell)

# MD5
Get-FileHash nginx-1.24.0.tar.gz -Algorithm MD5

# SHA1
Get-FileHash nginx-1.24.0.tar.gz -Algorithm SHA1

# SHA256
Get-FileHash nginx-1.24.0.tar.gz -Algorithm SHA256

验证不同类型的文件

源代码包

# 下载
wget http://nginx.org/download/nginx-1.24.0.tar.gz
wget http://nginx.org/download/nginx-1.24.0.tar.gz.asc

# 验证
gpg --verify nginx-1.24.0.tar.gz.asc nginx-1.24.0.tar.gz
sha256sum -c nginx-1.24.0.tar.gz.sha256

Linux 软件包

Debian/Ubuntu

# 下载
wget http://nginx.org/packages/ubuntu/pool/nginx/n/nginx/nginx_1.24.0-1~jammy_amd64.deb
wget http://nginx.org/packages/ubuntu/pool/nginx/n/nginx/nginx_1.24.0-1~jammy_amd64.deb.asc

# 验证
gpg --verify nginx_1.24.0-1~jammy_amd64.deb.asc nginx_1.24.0-1~jammy_amd64.deb

CentOS/RHEL

# 下载
wget http://nginx.org/packages/centos/7/x86_64/RPMS/nginx-1.24.0-1.el7.ngx.x86_64.rpm
wget http://nginx.org/packages/centos/7/x86_64/RPMS/nginx-1.24.0-1.el7.ngx.x86_64.rpm.asc

# 验证
gpg --verify nginx-1.24.0-1.el7.ngx.x86_64.rpm.asc nginx-1.24.0-1.el7.ngx.x86_64.rpm

Windows 二进制文件

# 下载
curl -O http://nginx.org/download/nginx-1.24.0.zip
curl -O http://nginx.org/download/nginx-1.24.0.zip.asc

# 验证
gpg --verify nginx-1.24.0.zip.asc nginx-1.24.0.zip

自动化验证脚本

Linux/macOS

#!/bin/bash

# verify_nginx.sh

FILE=$1
if [ -z "$FILE" ]; then
    echo "Usage: $0 <file>"
    exit 1
fi

# 检查签名文件
if [ -f "${FILE}.asc" ]; then
    echo "Verifying PGP signature..."
    gpg --verify "${FILE}.asc" "$FILE"
    if [ $? -eq 0 ]; then
        echo "✓ PGP signature verified"
    else
        echo "✗ PGP signature verification failed"
        exit 1
    fi
else
    echo "Warning: PGP signature file not found"
fi

# 验证 SHA256
if [ -f "${FILE}.sha256" ]; then
    echo "Verifying SHA256 hash..."
    sha256sum -c "${FILE}.sha256"
    if [ $? -eq 0 ]; then
        echo "✓ SHA256 hash verified"
    else
        echo "✗ SHA256 hash verification failed"
        exit 1
    fi
else
    echo "Warning: SHA256 hash file not found"
fi

echo "All verifications passed"

使用:

chmod +x verify_nginx.sh
./verify_nginx.sh nginx-1.24.0.tar.gz

Windows PowerShell

# verify_nginx.ps1

param(
    [Parameter(Mandatory=$true)]
    [string]$FilePath
)

# 验证 SHA256
$hashFile = "$FilePath.sha256"
if (Test-Path $hashFile) {
    Write-Host "Verifying SHA256 hash..."
    $hash = (Get-FileHash $FilePath -Algorithm SHA256).Hash.ToLower()
    $expected = (Get-Content $hashFile).Split()[0]
    
    if ($hash -eq $expected) {
        Write-Host "✓ SHA256 hash verified"
    } else {
        Write-Host "✗ SHA256 hash verification failed"
        Write-Host "Expected: $expected"
        Write-Host "Got: $hash"
        exit 1
    }
} else {
    Write-Host "Warning: SHA256 hash file not found"
}

Write-Host "All verifications passed"

使用:

.\verify_nginx.ps1 nginx-1.24.0.zip

常见问题

1. 签名验证失败

# 错误信息
gpg: Can't check signature: No public key

# 解决方案
gpg --keyserver keys.gnupg.net --recv-keys B0F4253373F8F5F5ADA8A3BC2FFE8E521A1D9F87

2. 密钥未信任

# 错误信息
gpg: Good signature from "nginx signing key <signing-key@nginx.com>" [unknown]

# 解决方案
# 手动验证指纹后信任密钥
gpg --edit-key B0F4253373F8F5F5ADA8A3BC2FFE8E521A1D9F87
gpg> trust
gpg> 5
gpg> save

3. 哈希验证失败

# 错误信息
nginx-1.24.0.tar.gz: FAILED

# 解决方案
# 重新下载文件
wget http://nginx.org/download/nginx-1.24.0.tar.gz

4. 文件损坏

# 错误信息
gpg: BAD signature

# 解决方案
# 重新下载文件
wget http://nginx.org/download/nginx-1.24.0.tar.gz

安全建议

  1. 始终验证:下载后立即验证文件
  2. 使用 HTTPS:确保下载连接安全
  3. 检查指纹:验证 PGP 密钥指纹
  4. 使用 SHA256:优先使用 SHA256 而非 MD5
  5. 官方来源:只从 nginx.org 下载
  6. 保持更新:定期更新 GnuPG 和密钥

Nginx 签名密钥信息

公钥指纹:573B FD6B 3D8F BC64 1079 A6AB ABF5 BD82 7BD9 BF62
密钥 ID:B0F4253373F8F5F5ADA8A3BC2FFE8E521A1D9F87
邮箱:signing-key@nginx.com

总结

验证下载的文件是确保安全的重要步骤:

  • ✅ 使用 PGP 签名验证真实性
  • ✅ 使用哈希值验证完整性
  • ✅ 优先使用 SHA256 算法
  • ✅ 从官方来源下载
  • ✅ 使用 HTTPS 连接
  • ✅ 定期更新密钥
上一章:Windows 二进制文件
下一章:基础操作