12.17 Nginx负载均衡 12.18 ssl原理 12.19 生成ssl密钥对 12.20 Nginx配置ssl

时间 2019-12-06

标签 12.17 nginx 负载均衡 12.18 ssl 原理 12.19 生成密钥 12.20 配置栏目 Nginx 繁體版

原文原文链接

12.17 Nginx负载均衡

yum install bind-utils
dig baidu.com     //  返回3个ip,其实就 域名解析


baidu.com.        152    IN    A    123.125.114.144
baidu.com.        152    IN    A    111.13.101.208
baidu.com.        152    IN    A    220.181.57.217

vim /usr/local/nginx/conf/vhost/load.conf // 写入以下内容php

upstream baidu_com
{
    ip_hash;    //目的让同一个用户保持在同一个机器上
    server 123.125.114.144:80;   //定义3个server, 若是端口是80能够省略:80
    server 111.13.101.208;
    server 220.181.57.217;
}
server
{
    listen 80;   //定义监听端口, 域名是什么
    server_name www.baidu.com;
    location /
    {
        proxy_pass     http://baidu_com;   //这里和上面的upstream名字保持一致
        proxy_set_header Host   $host;
        proxy_set_header X-Real-IP      $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

upstream来指定多个web server

测试:html

没作代理|负载均衡前:linux

/usr/local/nginx/sbin/nginx -t && /usr/local/nginx/sbin/nginx -s reloadnginx

作代理|负载均衡后: 可访问到百度的内容web

12.18 ssl原理

浏览器发送一个https的请求给服务器；算法

服务器要有一套数字证书，能够本身制做（后面的操做就是阿铭本身制做的证书），也能够向组织申请，区别就是本身颁发的证书须要客户端验证经过，才能够继续访问，而使用受信任的公司申请的证书则不会弹出>提示页面，这套证书其实就是一对公钥和私钥；vim

服务器会把公钥传输给客户端；浏览器

客户端（浏览器）收到公钥后，会验证其是否合法有效，无效会有警告提醒，有效则会生成一串随机数，并用收到的公钥加密；服务器

客户端把加密后的随机字符串传输给服务器；负载均衡

服务器收到加密随机字符串后，先用私钥解密（公钥加密，私钥解密），获取到这一串随机数后，再用这串随机字符串加密传输的数据/网站的内容（该加密为对称加密，所谓对称加密，就是将数据和私钥也就是这个随机字符串>经过某种算法混合在一块儿，这样除非知道私钥，不然没法获取数据内容）；

服务器把加密后的数据传输给客户端；

客户端收到数据后，再用本身的私钥也就是那个随机字符串解密；

12.19 生成ssl密钥对

cd /usr/local/nginx/conf
 openssl genrsa -des3 -out tmp.key 2048//key文件为私钥
 openssl rsa -in tmp.key -out aminglinux.key //转换key，取消密码, 产生个没密码的私钥
 rm -f tmp.key   //有密码的私钥不要了,rm掉
 openssl req -new -key aminglinux.key -out aminglinux.csr//生成证书请求文件，须要拿这个文件和私钥一块儿生产公钥文件
 openssl x509 -req -days 365 -in aminglinux.csr -signkey aminglinux.key -out aminglinux.crt   //证书有效期1年365天
 这里的aminglinux.crt为公钥

12.20 Nginx配置ssl

vim /usr/local/nginx/conf/vhost/ssl.conf//加入以下内容

server
{
    listen 443;
    server_name aming110.com;
    index index.html index.php;
    root /data/wwwroot/aming110.com;
    ssl on;
    ssl_certificate aminglinux.crt;     //公钥
    ssl_certificate_key aminglinux.key;    //私钥
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
}


-t && -s reload //若报错unknown directive “ssl” ，须要从新编译nginx，加上--with-http_ssl_module, 步骤以下
从新编译  须要保证编译参数和原来同样或者比原来还要多，不然原来的模块就不能用了


cd /usr/local/src/nginx-1.12.2/
./configure  --help | grep -i ssl


./configure   --prefix=/usr/local/nginx  --with-http_ssl_module 
make &&  make install

测试模块是否安装成功
/usr/local/nginx/sbin/nginx -V



重启nginx , 查看监听端口 443


测试:
mkdir /data/wwwroot/aming110.com
echo “ssl test page.”>/data/wwwroot/aming110.com/index.html
编辑etc/hosts，增长127.0.0.1 aming110.com
curl https://aming110.com/    //测试  已经成功, 但提示证书为不可信任



经过本身电脑的浏览器访问 https://aming110.com/  成功   // 本身电脑hosts 也要增长 127.0.0.1 aming110.com

想要正规的ssh, 要去网站买, 沃通  https://www.wosign.com/