12.17 Nginx負載均衡
- vim /usr/local/nginx/conf/vhost/load.conf #寫入如下內容
upstream qq_com #upstream來指定多個web server
{
ip_hash;
server 61.135.157.156:80;
server 125.39.240.113:80;
}
server
{
listen 80;
server_name www.qq.com;
location /
{
proxy_pass http://qq_com;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
12.18 SSL原理
1、SSL工作流程
- 瀏覽器發送一個https的請求給服務器;
- 服務器要有一套數字證書,可以自己製作,也可以向組織申請,區別是自己頒發的證書需要客戶端驗證通過,纔可以繼續訪問,而使用受信任的公司申請的證書則不會彈出提示頁面,這套證書其實就是一對公鑰和私鑰;
- 服務器會把公鑰傳輸給客戶端;
- 客戶端(瀏覽器)收到公鑰後,會驗證其是否合法有效,無效會有警告提醒,有效則會生成一串隨機數,並用收到的公鑰加密;
- 客戶端把加密後的隨機字符串傳輸給服務器;
- 服務器收到加密隨機字符串後,先用私鑰解密(公鑰加密,私鑰解密),獲取到這一串隨機數後,再用這串隨機字符串加密傳輸的數據(該加密爲對稱加密,所謂對稱加密,就是將數據和私鑰也就是這個隨機字符串通過某種算法混合在一起,這樣除非知道私鑰,否則無法獲取數據內容);
- 服務器把加密後的數據傳輸給客戶端;
- 客戶端收到數據後,再用自己的私鑰也就是那個隨機字符串解密
2、SSL工作流程圖
- cd /usr/local/nginx/conf #公鑰和私鑰的放置路徑
- openssl genrsa -des3 -out tmp.key 2048 #key文件爲私鑰,生成rsa格式的私鑰,2048表示私鑰長度,生成密鑰的時候必須要有密碼
- openssl rsa -in tmp.key -out aminglinux.key #轉換key,取消密碼,將上一步生成的密鑰文件更改名字,避免在瀏覽器訪問時要輸入密碼
- rm -f tmp.key
- openssl req -new -key aminglinux.key -out aminglinux.csr #生成證書請求文件,需要拿這個文件和私鑰一起生產公鑰文件
- openssl x509 -req -days 365 -in aminglinux.csr -signkey aminglinux.key -out aminglinux.crt #aminglinux.crt爲公鑰
Nginx配置SSL的主要步驟
- vim /usr/local/nginx/conf/vhost/ssl.conf #編輯ssl配置文件,加入如下內容
server
{
listen 443;
server_name aming.com;
index index.html index.php;
root /data/wwwroot/aming.com;
ssl on;
ssl_certificate
aminglinux.crt; #指定公鑰
ssl_certificate_key
aminglinux.key; #指定私鑰
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL協議版本
}
- /usr/local/nginx/sbin/nginx -t && -s reload #語法檢查,若報錯unknown directive “ssl” ,需要重新編譯nginx,加上--with-http_ssl_module, 命令:/usr/local/nginx/sbin/nginx -V查看編譯參數
- mkdir /data/wwwroot/aming.com
- echo “ssl test page.”>/data/wwwroot/aming.com/index.html #編輯測試文件
- 編輯hosts,增加“127.0.0.1 aming.com”
- curl https://aming.com/ #命令行訪問測試,瀏覽器訪問測試會提示不安全,因爲是自己生成的證書,未被瀏覽器認證