环境:
AI-Sphere-Butler
WSL2
Ubuntu22.04
Nginx
问题描述:
AI-Sphere-Butler之Ubuntu服务器如何部署Nginx代理,并将HTTP升级成HTTPS,用于移动设备访问
解决方案:
一、生成加密证书
1.配置OpenSSL生成本地不加密证书
1.确保你已经安装了 Nginx 和 OpenSSL,可以使用以下命令在 Ubuntu 上安装它们:
sudo apt update
sudo apt install nginx openssl
2.生成自签名SSL证书
如果你还没有SSL证书,可以按照之前命令生成一个自签名证书,假设你已经在 /etc/nginx/ssl 目录下生成了 private.key 和 certificate.crt 文件。
sudo mkdir -p /etc/nginx/ssl
cd /etc/nginx/ssl
openssl genpkey -algorithm RSA -out private.key
openssl req -new -key private.key -out csr.csr
openssl x509 -req -days 365 -in csr.csr -signkey private.key -out certificate.crt
用不加密证书
openssl rsa -in /etc/nginx/ssl/private.key -out /etc/nginx/ssl/private_unencrypted.key
二、部署Nginx服务
1.更新软件包列表
首先,确保系统软件包列表是最新的:
sudo apt update
2.安装Nginx
使用apt命令来安装Nginx:
sudo apt install nginx
安装过程中,可能会提示你输入管理员密码以确认操作权限。
3.启动和启用Nginx
安装完成后,启动Nginx服务,并设置它在系统启动时自动运行:
sudo systemctl start nginx
sudo systemctl enable nginx
可以通过以下命令检查Nginx的状态,确保它正在运行:
sudo systemctl status nginx
如果一切正常,应该会看到类似“active (running)”的输出。
4.配置防火墙
如果你的Ubuntu服务器启用了UFW(Uncomplicated Firewall),要需要允许HTTP和HTTPS流量:
sudo ufw allow 'Nginx Full'
这条命令将允许通过HTTP(端口80)和HTTPS(端口443)的流量。如果你想只允许HTTP或HTTPS,可以分别使用'Nginx HTTP'或'Nginx HTTPS'。
5.验证Nginx安装
打开浏览器并访问你的服务器IP地址或域名(例如:http://your_server_ip)。你应该能看到默认的Nginx欢迎页面,表明Nginx已经成功安装并运行。
6.基本配置文件路径
- 主配置文件:
/etc/nginx/nginx.conf - 站点配置文件:通常位于
/etc/nginx/sites-available/目录下,默认站点配置文件为default。 - 日志文件:位于
/var/log/nginx/目录下的access.log和error.log。
7.代理本地模块服务
本地地址:http://192.168.1.22:8010/realtalk/examples/index.html
目标地址:https://192.168.1.22:7010/realtalk/examples/index.html
编写nginx默认配置文件
nano /etc/nginx/sites-available/default
server {
listen 7010 ssl;
server_name 192.168.1.22;
# SSL 证书配置
ssl_certificate /etc/nginx/ssl/certificate.crt;
ssl_certificate_key /etc/nginx/ssl/private_unencrypted.key;
# SSL 协议与密码套件
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
# 静态资源配置
location /realtalk/examples/ {
alias /mnt/e/work/metahuman-stream/web/realtalk/examples/;
index index.html;
# 处理静态文件的缓存控制,确保加载最新资源
add_header Cache-Control "no-cache, no-store, must-revalidate";
add_header Pragma "no-cache";
add_header Expires 0;
# 启用目录列表(可选,方便调试)
autoindex on;
autoindex_exact_size off;
autoindex_localtime on;
}
# 新增代理路径
location /client.js {
proxy_pass http://192.168.1.22:8010/client.js; # 将 HTTPS 请求转发到 HTTP 服务
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
# 代理 /webrtcapi.html 到 8010
location /webrtcapi.html {
proxy_pass http://192.168.1.22:8010/webrtcapi.html;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
# 新增代理 /qwener 到 8010/qwener
location /qwener {
proxy_pass http://192.168.1.22:8010/qwener;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# 可选:添加缓存控制头(如果需要控制缓存)
add_header Cache-Control "no-cache, no-store, must-revalidate";
add_header Pragma "no-cache";
add_header Expires 0;
}
# API 请求代理配置
location /api/ {
proxy_pass http://127.0.0.1:8010;
# 跨域设置
add_header Access-Control-Allow-Origin *;
add_header Access-Control-Allow-Methods "GET, POST, OPTIONS";
add_header Access-Control-Allow-Headers "Authorization, Content-Type";
# 处理预检请求 (CORS)
if ($request_method = 'OPTIONS') {
add_header 'Access-Control-Allow-Origin' '*';
add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
add_header 'Access-Control-Allow-Headers' 'Authorization, Content-Type';
add_header 'Access-Control-Max-Age' 1728000;
add_header 'Content-Type' 'text/plain charset=UTF-8';
add_header 'Content-Length' 0;
return 204;
}
}
# WebSocket 请求代理
location /ws/ {
proxy_pass http://127.0.0.1:8010;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header Host $host;
}
# 主站点代理,用于其他未明确匹配的路径
location / {
proxy_pass http://127.0.0.1:8010;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
# 防止 WebSocket 或长连接被切断
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}
}
# HTTP 配置(重定向至 HTTPS)
server {
listen 80;
server_name 192.168.1.22;
# 将所有 HTTP 请求强制重定向到 HTTPS
return 301 https://$host$request_uri;
}
三、更改下面几个文件代码(改成你本地的)
E:\work\metahuman-stream\web\realtalk\examples\index.html
https://192.168.1.22:7010/webrtcapi.html
E:\work\metahuman-stream\web\realtalk\examples\index_noauto.js
四、测试
手机设备使用谷歌、火狐、edge浏览器测试输入访问测试
https://192.168.1.22:7010/realtalk/examples/index.html