linux學習第四十七篇：Nginx負載均衡，ssl原理，生產ssl密鑰對，Nginx配置ssl

Nginx負載均衡

負載均衡，將用戶的所有HTTP請求均衡的分配到每一臺機器上，充分發揮所有機器的性能，提高服務的質量和用戶體驗。

• vim /usr/local/nginx/conf/vhost/ld.conf
  寫入如下內容

upstream qq_com
{
    ip_hash; //讓同一個用戶始終保持在同一個機器上
    server 61.135.157.156:80;
    server 112.90.83.112:80;
}
server
{
    listen 80;
    server_name www.qq.com;
    location /
    {
        proxy_pass      http://qq_com; //qq_com這個名字代表的是上面的兩個IP
        proxy_set_header Host   $host;
        proxy_set_header X-Real-IP      $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}
//upstream來指定多個web server

• 這裏我們用的是qq.com來做實驗，我們可以用命令dig來解析qq.com這個域名的IP地址，命令dig的安裝包是：yum install -y bind-utils，這裏返回了兩個IP地址。用命令ping也可以解析到，不過只能解析到一個IP。
  

• curl -x127.0.0.1:80 www.qq.com
  用我們的虛擬機也可以訪問www.qq.com了
  

ssl原理

瀏覽器發送一個https的請求給服務器；服務器要有一套數字證書，可以自己製作（後面的操作就是阿銘自己製作的證書），也可以向組織申請，區別就是自己頒發的證書需要客戶端驗證通過，纔可以繼續訪問，而使用受信任的公司申請的證書則不會彈出>提示頁面，這套證書其實就是一對公鑰和私鑰；
服務器會把公鑰傳輸給客戶端；
客戶端（瀏覽器）收到公鑰後，會驗證其是否合法有效，無效會有警告提醒，有效則會生成一串隨機數，並用收到的公鑰加密；
客戶端把加密後的隨機字符串傳輸給服務器；
服務器收到加密隨機字符串後，先用私鑰解密（公鑰加密，私鑰解密），獲取到這一串隨機數後，再用這串隨機字符串加密傳輸的數據（該加密爲對稱加密，所謂對稱加密，就是將數據和私鑰也就是這個隨機字符串>通過某種算法混合在一起，這樣除非知道私鑰，否則無法獲取數據內容）；
服務器把加密後的數據傳輸給客戶端；
客戶端收到數據後，再用自己的私鑰也就是那個隨機字符串解密；

生產ssl密鑰對

• 把公鑰私鑰放在這個目錄下：
  cd /usr/local/nginx/conf

• 生成私鑰，key文件爲私鑰（2048是長度）：
  openssl genrsa -des3 -out tmp.key 2048

• 轉換key，取消密碼（-in指定哪個密鑰，-out輸出）：
  openssl rsa -in tmp.key -out aminglinux.key

• 刪除私鑰：
  rm -f tmp.key

• 生成證書請求文件，需要拿這個文件和私鑰一起生產公鑰文件：
  openssl req -new -key aminglinux.key -out aminglinux.csr
  因爲是頒發給自己的證書所以信息可以隨便填一下

• 用剛纔的證書請求文件和之前的私鑰文件一起生成公鑰文件：
  openssl x509 -req -days 365 -in aminglinux.csr -signkey aminglinux.key -out aminglinux.crt
  //這裏的aminglinux.crt爲公鑰。days爲365是證書的日期是一年

Nginx配置ssl

• 編輯ssl配置文件：
  vim /usr/local/nginx/conf/vhost/ssl.conf
  加入如下內容：

server
{
    listen 443;
    server_name aming.com;
    index index.html index.php;
    root /data/wwwroot/aming.com;
    ssl on; //開啓ssl，支持https
    ssl_certificate aminglinux.crt; //指定公鑰
    ssl_certificate_key aminglinux.key; //指定私鑰
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
}

• 創建aming.com目錄：
  mkdir /data/wwwroot/aming.com

• 測試加載配置文件，若報錯unknown directive “ssl” ，需要重新編譯nginx，加上–with-http_ssl_module
  -t && -s reload
  當初編譯的時候沒有指定支持ssl，所以需要重新編譯。
  
  進入Nginx的源碼包中，重新編譯：./configure –prefix=/usr/local/nginx –with-http_ssl_module
  
  裝好後記得 make && make install
  現在就多了http_ssl_module這個參數。
  
  然後再重新-t測試語法，這次就可以了。

• /etc/init.d/nginx restart 重啓Nginx之後就會發現多了443的監聽端口：
  

• 編輯訪問文件：
  echo “ssl test page.”>/data/wwwroot/aming.com/index.html

• 編輯hosts，增加127.0.0.1 aming.com

• curl https://aming.com/
  這個問題是被標誌爲不可信任，因爲這個證書是我們自己頒發的，但是實際上是配置成功了。
  
  用瀏覽器訪問：
  記得要在windows上的hosts上添加定義aming.com。
  如果訪問不到是因爲有防火牆，簡單的話可以清空規則iptables -F，也可以添加443端口的規則。
  這裏顯示不安全，是因爲證書不被瀏覽器認可，想繼續訪問可以點擊高級然後點繼續前往就可以訪問到內容。
  

擴展
針對請求的uri來代理 http://ask.apelearn.com/question/1049
根據訪問的目錄來區分後端的web http://ask.apelearn.com/question/920
nginx長連接 http://www.apelearn.com/bbs/thread-6545-1-1.html
nginx算法分析 http://blog.sina.com.cn/s/blog_72995dcc01016msi.html