12.17 Nginx負載均衡
12.18 ssl原理
12.19 生成ssl密鑰對
12.20 Nginx配置ssl
12.17 Nginx負載均衡
一個代理服務器可以有多個web服務器
以qq.com爲例
cd /usr/local/nginx/conf/vhost
vim /usr/local/nginx/conf/vhost/load.conf //寫入下面的內容
upstream qq
{
ip_hash; //同一個用戶始終在同一個服務器
server 61.135.157.156:80;
server 125.39.240.113:80;
}
server
{
listen 80;
server_name www.qq.com;
location /
{
proxy_pass http://qq; //寫upstream的名字
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
upstream來指定多個web server
測試 生效後可以訪問qq.com網頁的源碼
ngx不支持去代理https
12.18 ssl原理
瀏覽器發送一個https的請求給服務器;
服務器要有一套數字證書,可以自己製作(後面的操作就是自己製作的證書),也可以向組織申請,區別就是自己頒發的證書需要客戶端驗證通過,纔可以繼續訪問,而使用受信任的公司申請的證書則不會彈出>提示頁面,這套證書其實就是一對公鑰和私鑰;
服務器會把公鑰傳輸給客戶端;
客戶端(瀏覽器)收到公鑰後,會驗證其是否合法有效,無效會有警告提醒,有效則會生成一串隨機數,並用收到的公鑰加密;
客戶端把加密後的隨機字符串傳輸給服務器;
服務器收到加密隨機字符串後,先用私鑰解密(公鑰加密,私鑰解密),獲取到這一串隨機數後,再用這串隨機字符串加密傳輸的數據(該加密爲對稱加密,所謂對稱加密,就是將數據和私鑰也就是這個隨機字符串>通過某種算法混合在一起,這樣除非知道私鑰,否則無法獲取數據內容);
服務器把加密後的數據傳輸給客戶端;
客戶端收到數據後,再用自己的私鑰也就是那個隨機字符串解密;
12.19 生成ssl密鑰對
在虛擬機上頒發一套證書(公鑰和私鑰)
把公鑰和私鑰放到這個目錄下
cd /usr/local/nginx/conf
openssl genrsa -des3 -out tmp.key 2048// 生成rsa格式的私鑰,名字爲tmp.key
openssl rsa -in tmp.key -out aminglinux.key //轉換key,取消密碼,aminglinux.key和前面的一樣 只是無密碼
要密碼的刪除掉
openssl req -new -key aminglinux.key -out aminglinux.csr//生成證書請求文件,需要拿這個文件和私鑰一起生產公鑰文件
openssl x509 -req -days 365 -in aminglinux.csr -signkey aminglinux.key -out aminglinux.crt
這裏的aminglinux.crt爲公鑰
接下來就可以配置ssl了
12.20 Nginx配置ssl
mkdir /data/wwwroot/aming.com
vim /usr/local/nginx/conf/vhost/ssl.conf//加入如下內容
server
{
listen 443;
server_name aming.com;
index index.html index.php;
root /data/wwwroot/aming.com;
ssl on; //開啓
ssl_certificate aminglinux.crt; //指定公鑰
ssl_certificate_key aminglinux.key; //指定私鑰
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; //協議,三種都配置上
}
-t && -s reload //若報錯unknown directive “ssl” ,需要重新編譯nginx,加上--with-http_ssl_module
報錯,重新編譯
這次沒問題
重啓nginx
echo “ssl test page.”>/data/wwwroot/aming.com/index.html
編輯hosts,增加127.0.0.1 aming.com
curl https://aming.com/