linux学习第四十七篇：Nginx负载均衡，ssl原理，生产ssl密钥对，Nginx配置ssl

Nginx负载均衡

负载均衡，将用户的所有HTTP请求均衡的分配到每一台机器上，充分发挥所有机器的性能，提高服务的质量和用户体验。

• vim /usr/local/nginx/conf/vhost/ld.conf
  写入如下内容

upstream qq_com
{
    ip_hash; //让同一个用户始终保持在同一个机器上
    server 61.135.157.156:80;
    server 112.90.83.112:80;
}
server
{
    listen 80;
    server_name www.qq.com;
    location /
    {
        proxy_pass      http://qq_com; //qq_com这个名字代表的是上面的两个IP
        proxy_set_header Host   $host;
        proxy_set_header X-Real-IP      $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}
//upstream来指定多个web server

• 这里我们用的是qq.com来做实验，我们可以用命令dig来解析qq.com这个域名的IP地址，命令dig的安装包是：yum install -y bind-utils，这里返回了两个IP地址。用命令ping也可以解析到，不过只能解析到一个IP。
  

• curl -x127.0.0.1:80 www.qq.com
  用我们的虚拟机也可以访问www.qq.com了
  

ssl原理

浏览器发送一个https的请求给服务器；服务器要有一套数字证书，可以自己制作（后面的操作就是阿铭自己制作的证书），也可以向组织申请，区别就是自己颁发的证书需要客户端验证通过，才可以继续访问，而使用受信任的公司申请的证书则不会弹出>提示页面，这套证书其实就是一对公钥和私钥；
服务器会把公钥传输给客户端；
客户端（浏览器）收到公钥后，会验证其是否合法有效，无效会有警告提醒，有效则会生成一串随机数，并用收到的公钥加密；
客户端把加密后的随机字符串传输给服务器；
服务器收到加密随机字符串后，先用私钥解密（公钥加密，私钥解密），获取到这一串随机数后，再用这串随机字符串加密传输的数据（该加密为对称加密，所谓对称加密，就是将数据和私钥也就是这个随机字符串>通过某种算法混合在一起，这样除非知道私钥，否则无法获取数据内容）；
服务器把加密后的数据传输给客户端；
客户端收到数据后，再用自己的私钥也就是那个随机字符串解密；

生产ssl密钥对

• 把公钥私钥放在这个目录下：
  cd /usr/local/nginx/conf

• 生成私钥，key文件为私钥（2048是长度）：
  openssl genrsa -des3 -out tmp.key 2048

• 转换key，取消密码（-in指定哪个密钥，-out输出）：
  openssl rsa -in tmp.key -out aminglinux.key

• 删除私钥：
  rm -f tmp.key

• 生成证书请求文件，需要拿这个文件和私钥一起生产公钥文件：
  openssl req -new -key aminglinux.key -out aminglinux.csr
  因为是颁发给自己的证书所以信息可以随便填一下

• 用刚才的证书请求文件和之前的私钥文件一起生成公钥文件：
  openssl x509 -req -days 365 -in aminglinux.csr -signkey aminglinux.key -out aminglinux.crt
  //这里的aminglinux.crt为公钥。days为365是证书的日期是一年

Nginx配置ssl

• 编辑ssl配置文件：
  vim /usr/local/nginx/conf/vhost/ssl.conf
  加入如下内容：

server
{
    listen 443;
    server_name aming.com;
    index index.html index.php;
    root /data/wwwroot/aming.com;
    ssl on; //开启ssl，支持https
    ssl_certificate aminglinux.crt; //指定公钥
    ssl_certificate_key aminglinux.key; //指定私钥
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
}

• 创建aming.com目录：
  mkdir /data/wwwroot/aming.com

• 测试加载配置文件，若报错unknown directive “ssl” ，需要重新编译nginx，加上–with-http_ssl_module
  -t && -s reload
  当初编译的时候没有指定支持ssl，所以需要重新编译。
  
  进入Nginx的源码包中，重新编译：./configure –prefix=/usr/local/nginx –with-http_ssl_module
  
  装好后记得 make && make install
  现在就多了http_ssl_module这个参数。
  
  然后再重新-t测试语法，这次就可以了。

• /etc/init.d/nginx restart 重启Nginx之后就会发现多了443的监听端口：
  

• 编辑访问文件：
  echo “ssl test page.”>/data/wwwroot/aming.com/index.html

• 编辑hosts，增加127.0.0.1 aming.com

• curl https://aming.com/
  这个问题是被标志为不可信任，因为这个证书是我们自己颁发的，但是实际上是配置成功了。
  
  用浏览器访问：
  记得要在windows上的hosts上添加定义aming.com。
  如果访问不到是因为有防火墙，简单的话可以清空规则iptables -F，也可以添加443端口的规则。
  这里显示不安全，是因为证书不被浏览器认可，想继续访问可以点击高级然后点继续前往就可以访问到内容。
  

扩展
针对请求的uri来代理 http://ask.apelearn.com/question/1049
根据访问的目录来区分后端的web http://ask.apelearn.com/question/920
nginx长连接 http://www.apelearn.com/bbs/thread-6545-1-1.html
nginx算法分析 http://blog.sina.com.cn/s/blog_72995dcc01016msi.html