随着最近 Nginx-Quic 分支被合并到了 Nginx 主线,Nginx 1.25.0 版本官方二进制包已经支持 Quic/HTTP3,感兴趣的朋友可以前往 https://nginx.org/en/download.htmlhttps://nginx.org/en/linux_packages.html 下载安装,体验一下 Quic/HTTP3 的魅力,本文将主要为您介绍如何通过编译的方式开启 Quic/HTTP3。

2025年06月16日更新:更新了部分编译参数
2025年05月15日更新:没错,boringssl又更新了,影响gcc13以下版本,因此修改编译时的参数。详见https://github.com/google/boringssl/commit/5e3ba4c15b67ed00fe8a71dc3a45ebd6211d299f
2024年11月10日更新:Nginx已将仓库迁移至Github,因此删除部分依赖,更新仓库链接
2024年04月11日更新:大部分系统下默认存在着www-data用户组和www-data用户,所以不再使用原来的www用户和www用户组进行编译。
2024年03月07日更新:最终使用 C++ 链接构建 Nginx,以解决 BoringSSL 编译问题。
2024年02月20日更新:通过在 Nginx 邮件社区讨论得到了一个解决方案,可以将 libssl 构建为共享库来解决这个问题,详见 https://mailman.nginx.org/pipermail/nginx/2024-February/5N5IXG7BI66D5AIKORCYPVVVJTZYMUR6.html ,可以根据需要自行尝试。
2024年02月19日更新:由于谷歌的 BoringSSL 现在发布了一个破坏性的更新,所以导致编译出错,本文临时将克隆到的 BoringSSL 版本修改为 c39e6cd9ec5acebb6de2adffc03cfe03b07f08ab 这个 commit。
2023年11月19日更新:修复了Nginx_brotli编译错误的问题。
2023年06月22日更新:更新了关于 HTTP/2 的配置,Nginx 已经弃用了 listen 指令中的 http2 参数,改为 http2 on;,详见 https://hg.nginx.org/nginx/rev/08ef02ad5c54https://nginx.org/en/docs/http/ngx_http_v2_module.html ,如您之前参照过本文编译安装 Nginx,请您重新编译安装后修改配置,可参照示例配置

安装依赖

1
2
3
4
5
6
7
8
9
10
11
12
13
14
# Debian 11或12
apt update
apt install build-essential ca-certificates zlib1g-dev libpcre2-dev tar unzip libssl-dev wget curl git cmake ninja-build libunwind-dev pkg-config libxml2-dev libxslt1-dev libgd-dev libgeoip-dev libperl-dev
# Ubuntu 22.04或20.04
sudo su
cd /root
apt update
apt install build-essential ca-certificates zlib1g-dev libpcre2-dev tar unzip libssl-dev wget curl git cmake ninja-build libunwind-dev pkg-config libxml2-dev libxslt1-dev libgd-dev libgeoip-dev libperl-dev
# CentOS 8 Stream/TencentOS Server 3.1
dnf update
dnf install gcc gcc-c++ pcre-devel openssl-devel zlib-devel cmake make libunwind-devel git wget libxml2-devel libxslt-devel gd-devel geoip-devel perl-devel
# OpenCloudOS Server 9
dnf update
dnf install gcc gcc-c++ pcre-devel openssl-devel zlib-devel cmake make git wget libxml2-devel libxslt-devel gd-devel geoip-devel perl-devel

安装Go

其实这里现在没什么用了,不知道从哪次提交开始,官方已经绕开了golang

下载并解压

1
2
wget https://dl.google.com/go/go1.24.4.linux-amd64.tar.gz
rm -rf /usr/local/go && tar -C /usr/local -xzf go1.24.4.linux-amd64.tar.gz

请注意系统架构,本文以 x86_64 为例,如果你的系统架构不是 x86_64,请自行修改下载链接。

添加环境变量

1
export PATH=$PATH:/usr/local/go/bin

具体可参考https://go.dev/doc/install

验证是否安装成功

1
go version

考虑国内用户访问官方较慢,故设置代理

1
export GOPROXY=https://mirrors.cloud.tencent.com/go/

编译 boringssl

Debian/Ubuntu

1
2
3
4
5
6
7
git clone --depth=1 https://github.com/google/boringssl.git
cd boringssl
# GCC 12版本增加下面这行参数
# sed -i 's/-Werror/-Werror -Wno-array-bounds/' CMakeLists.txt
cmake -GNinja -B build -DCMAKE_BUILD_TYPE=Release
ninja -C build
cd ../..

CentOS 8 Stream/TencentOS Server 3.1/OpenCloudOS Server 8

1
2
3
4
5
6
7
8
9
git clone --depth=1 https://github.com/google/boringssl.git
cd boringssl
# GCC 12版本增加下面这行参数
# sed -i 's/-Werror/-Werror -Wno-array-bounds/' CMakeLists.txt
mkdir build
cd build
cmake -DCMAKE_BUILD_TYPE=Release .. 
make
cd ../..

安装 brotli 压缩

不需要请跳过,并在编译时删除–add-module=../ngx_brotli

1
2
3
4
5
6
git clone --recurse-submodules -j8 https://github.com/google/ngx_brotli
cd ngx_brotli/deps/brotli
mkdir out && cd out
cmake -DCMAKE_BUILD_TYPE=Release -DBUILD_SHARED_LIBS=OFF -DCMAKE_C_FLAGS="-Ofast -march=native -mtune=native -flto -funroll-loops -ffunction-sections -fdata-sections -Wl,--gc-sections" -DCMAKE_CXX_FLAGS="-Ofast -march=native -mtune=native -flto -funroll-loops -ffunction-sections -fdata-sections -Wl,--gc-sections" -DCMAKE_INSTALL_PREFIX=./installed ..
cmake --build . --config Release --target brotlienc
cd ../../../..

编译安装quic

注意:
本人是直接在 /root 目录下编译的,如果你在其他目录下,请自行修改路径;
如果你不需要 brotli 压缩,请删除–add-module=/root/ngx_brotli
本人将 Nginx 安装在 /www/server/nginx 目录下,如果你需要修改,请自行修改路径;

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
git clone https://github.com/nginx/nginx.git
cd nginx
./auto/configure \
  --prefix=/www/server/nginx \
  --user=www-data \
  --group=www-data \
  --with-debug \
  --with-http_v3_module \
  --with-cc=c++ \
  --with-cc-opt='-g -O2 -Werror=implicit-function-declaration -fstack-protector-strong -fstack-clash-protection -Wformat -Werror=format-security -fcf-protection -Wdate-time -D_FORTIFY_SOURCE=2 -I../boringssl/include -x c' \
  --with-ld-opt='-Wl,-z,relro -Wl,-z,now -L../boringssl/build -L../boringssl/build/ssl -L../boringssl/build/crypto -lssl -lcrypto -lstdc++' \
  --add-module=../ngx_brotli \
  --with-compat \
  --with-pcre-jit \
  --with-http_ssl_module \
  --with-http_stub_status_module \
  --with-http_realip_module \
  --with-http_auth_request_module \
  --with-http_v2_module \
  --with-http_dav_module \
  --with-http_slice_module \
  --with-threads \
  --with-http_addition_module \
  --with-http_flv_module \
  --with-http_gunzip_module \
  --with-http_gzip_static_module \
  --with-http_mp4_module \
  --with-http_random_index_module \
  --with-http_secure_link_module \
  --with-http_sub_module \
  --with-mail_ssl_module \
  --with-stream_ssl_module \
  --with-stream_ssl_preread_module \
  --with-stream_realip_module
make
make install

添加 www 用户

大部分系统下默认存在着www-data用户组和www-data用户,如果没有请执行以下命令添加。

1
2
groupadd www-data
useradd -g www-data -s /sbin/nologin www-data

添加进程管理

本人使用的是 systemd,如果你使用的是其他进程管理,请自行修改

1
vim /usr/lib/systemd/system/nginx.service

输入如下内容:

1
2
3
4
5
6
7
8
9
10
11
12
13
[Unit]
Description=nginx
After=network.target

[Service]
Type=forking
ExecStart=/www/server/nginx/sbin/nginx
ExecReload=/www/server/nginx/sbin/nginx -s reload
ExecStop=/www/server/nginx/sbin/nginx -s quit
PrivateTmp=true

[Install]
WantedBy=multi-user.target

启动

1
systemctl start nginx

开机自启

1
systemctl enable nginx

配置文件

示例配置文件如下,更多特性请参考官方文档:https://nginx.org/en/docs/http/ngx_http_v3_module.html

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
server {
       listen 443 ssl;
       listen [::]:443 ssl;

       # 用于支持Quic或HTTP/3
       listen 443 quic reuseport;
       listen [::]:443 quic reuseport;

       # 用以支持HTTP/2
       http2 on;

       server_name r2wind.cn;

       # Quic或HTTP/3响应头
       add_header Alt-Svc 'h3=":443"; ma=86400';
       # HSTS
       add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

       location / {
           root /www/wwwroot/r2wind.cn; 
           index  index.html index.htm;
         }

       # 证书配置
       ssl_certificate /root/.acme.sh/smb.wiki/fullchain.cer; 
       ssl_certificate_key /root/.acme.sh/smb.wiki/smb.wiki.key;
       ssl_session_timeout 5m;
       ssl_protocols TLSv1.2 TLSv1.3; 
       ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE; 
       ssl_prefer_server_ciphers on;
    }

配置完成后,重载 Nginx 即可生效

1
systemctl reload nginx