Nginx负载均衡 ssl原理生成ssl密钥对 Nginx配置ssl

时间 2019-12-18

标签 nginx 负载均衡 ssl 原理生成密钥配置栏目 Nginx 繁體版

原文原文链接

6月12任务

12.17 Nginx负载均衡
12.18 ssl原理
12.19 生成ssl密钥对
12.20 Nginx配置ssl
扩展
针对请求的uri来代理 http://ask.apelearn.com/question/1049
根据访问的目录来区分后端的web http://ask.apelearn.com/question/920
nginx长链接 http://www.apelearn.com/bbs/thread-6545-1-1.html
nginx算法分析 http://blog.sina.com.cn/s/blog_72995dcc01016msi.htmlphp

Nginx负载均衡目录概要

vim /usr/local/nginx/conf/vhost/load.conf // 写入以下内容

upstream qq_com
{
    ip_hash;
    server 61.135.157.156:80;
    server 125.39.240.113:80;
}
server
{
    listen 80;
    server_name www.qq.com;
    location /
    {
        proxy_pass      http://qq_com;
        proxy_set_header Host   $host;
        proxy_set_header X-Real-IP      $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

upstream来指定多个web server

Nginx负载均衡

代理一台机器称为代理，代理两台机器就能够称为负载均衡
代理服务器后面能够有多个web服务器，多个web服务器去提供服务的时候，就能够实现一个负载均衡的功能
正常状况下，用户访问web服务器，是一台一台去请求；要么就是指定一个IP，把这域名解析到多台服务器上
案例
- 用户1 –> web1服务器
- 用户2 –> web2服务器
  - 假设这时web1服务器挂掉了（宕机），用户1由于解析到了web1，但web1宕机了，因此就没法正常访问
  - 这时候如果用nginx的负载均衡，在web1宕机后，代理服务器就不会把请求发送给web1，这就是代理的一个优势，负载均衡的优势
配置负载均衡，负载均衡的配置借助了upstream 模块
这里将qq.com做为演示对象
dig命令查看解析的IP——>yum install -y bind-utils

[root@yong-01 vhost]# yum install bind-utils -y

[root@yong-01 vhost]# dig qq.com

; <<>> DiG 9.9.4-RedHat-9.9.4-61.el7 <<>> qq.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55322
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;qq.com.				IN	A

;; ANSWER SECTION:
qq.com.			353	IN	A	111.161.64.48
qq.com.			353	IN	A	111.161.64.40

;; Query time: 27 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: 二 6月 12 21:38:12 CST 2018
;; MSG SIZE  rcvd: 67

会看到返回出两个IP，这个就是域名解析，也就是qq.com解析到了两个IP上
这时候就能够用这两个IP 111.161.64.48和111.161.64.40，去作负载均衡
写一个配置文件vim /usr/local/nginx/conf/vhost/load.conf

[root@yong-01 vhost]# vim load.conf

写入如下内容
upstream qq_com        //upstream后的名称自定义
{
    ip_hash;        //目的是为了让同一个用户始终保持在同一个机器上
    server 111.161.64.40:80;    //若是域名解析端口是80，这段配置上的指定端口80是能够省略的
    server 111.161.64.48:80;
}
server
{
    listen 80;    //定义监听端口
    server_name www.qq.com;     //域名

    location /
    {
        proxy_pass      http://qq_com;         //这里填写的是upstream 的名字
即“http://upstream”，由于做为一个模块，代理访问的是经过解析后的IP访问；
        proxy_set_header Host   $host;
        proxy_set_header X-Real-IP      $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

upstream来指定多个web server
当有多个服务器同时对一个域名提供服务的时候，长时间访问一个域名，在必定的时效内，会出现须要从新登陆或者是说跳转到另一个地址的服务器上；ip_hash，就是使经过这个代理访问的同一个域名的多个IP的服务器是，始终保持在一个IP上对这个域名进行访问
在未加载配置的时候，本机去访问qq.com，会去访问默认虚拟主机

[root@yong-01 vhost]# curl -x127.0.0.1:80 www.qq.com
This is a test default site.

测试访问qq.com ，检查配置文件语法，并从新加载

[root@yong-01 vhost]# /usr/local/nginx/sbin/nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[root@yong-01 vhost]# /usr/local/nginx/sbin/nginx -s reload

这时再来访问qq.com，会看到的是qq.com的主页，反馈回来的是网页的源码

[root@yong-01 vhost]# curl -x127.0.0.1:80 www.qq.com

这个就是负载均衡

nginx代理和负载均衡的知识点

nginx不支持去代理https，也就是在配置文件中的server 后不能写443，是不支持的，只能代理http、tcp
若想要实现代理https，nginx监听443端口，但web服务必须是80端口

ssl原理

https的相关知识点
要配置nginx和https，就须要首先去了解https是什么？
在访问一些网站的时候，会自动加上了https前标
http和https的区别
- https通讯是加密的，若是不加密，中间传输数据包的有时候会被截到，就会致使信息泄露，https就是对这个通讯的数据包进行加密
SSL工做流程
- 浏览器发送一个https的请求给服务器；
- 服务器要有一套数字证书，能够本身制做（后面的操做就是阿铭本身制做的证书），也能够向组织申请，区别就是本身颁发的证书须要客户端验证经过，才能够继续访问，而使用受信任的公司申请的证书则不会弹出>提示页面，这套证书其实就是一对公钥（加密）和私钥（解密）；
- 服务器会把公钥传输给客户端；
- 客户端（浏览器）收到公钥后，（这个过程是浏览器判断的）会验证其是否合法有效，无效会有警告提醒，有效则会生成一串随机数，并用收到的公钥加密；
- 客户端把加密后的随机字符串传输给服务器；
- 服务器收到加密随机字符串后，先用私钥解密（公钥加密，私钥解密），获取到这一串随机数后，再用这串随机字符串加密传输的数据（该加密为对称加密，所谓对称加密，就是将数据和私钥也就是这个随机字符串>经过某种算法混合在一块儿，这样除非知道私钥，不然没法获取数据内容）；
- 服务器把加密后的数据传输给客户端；
- 客户端收到数据后，再用本身的私钥也就是那个随机字符串解密；

生成ssl密钥对目录概要

cd /usr/local/nginx/conf
openssl genrsa -des3 -out tmp.key 2048//key文件为私钥
openssl rsa -in tmp.key -out aminglinux.key //转换key，取消密码
rm -f tmp.key
openssl req -new -key aminglinux.key -out aminglinux.csr//生成证书请求文件，须要拿这个文件和私钥一块儿生产公钥文件
openssl x509 -req -days 365 -in aminglinux.csr -signkey aminglinux.key -out aminglinux.crt 这里的aminglinux.crt为公钥

生成ssl密钥对

在本身的虚拟机生成ssl 须要用到openssl工具html

在虚拟上颁发一套证书，生成ssl
首先得有一个openssl工具
切换到/usr/local/nginx/conf/目录下

[root@yong-01 ~]# cd /usr/local/nginx/conf/

如果没有openssl工具，能够安装下
查看openssl工具是由哪一个安装包安装的

[root@yong-01 conf]# rpm -qf `which openssl`
openssl-1.0.2k-8.el7.x86_64

生成一个私钥，命令openssl genrsa -des3 -out tmp.key 2048

[root@yong-01 conf]# openssl genrsa -des3 -out tmp.key 2048
Generating RSA private key, 2048 bit long modulus
.......+++
......................................................................+++
e is 65537 (0x10001)
Enter pass phrase for tmp.key:        //输入密码 123456
Verifying - Enter pass phrase for tmp.key:        //再次输入密码 123456

openssl genrsa -des3 -out tmp.key 2048
- genrsa ，表示生成rsa的私钥
- 2048 ，2048长度
- 名字为 tmp.key
生成这个秘钥必需要有密码

在生成这个秘钥后比较麻烦，在nginx的配置文件里指定密码，每次访问浏览器，在https这个网址输入这个密码会很不方便，因此还须要去除这个密码
转换key，取消密码，命令 openssl rsa -in tmp.key -out gurui.key

-in 表示指定哪个秘钥要被转换
-out 表示指定输出的

[root@yong-01 conf]# openssl rsa -in tmp.key -out yyl.key
Enter pass phrase for tmp.key:    //输入tmp.key的密码 123456
writing RSA key

这时候tmp.key和yyl.key是属于同一个
tmp.key，有密码
yyl.key，没有密码
删除tmp.key

[root@yong-01 conf]# rm -f tmp.key

生成证书请求文件，须要拿这个请求文件和私钥一块儿生产公钥文件

[root@yong-01 conf]# openssl req -new -key yyl.key -out yyl.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:cn              //国家，2个字母
State or Province Name (full name) []:guangdong      //省或州
Locality Name (eg, city) [Default City]:guangdong  //城市
Organization Name (eg, company) [Default Company Ltd]:li  //公司
Organizational Unit Name (eg, section) []:li   //组织
Common Name (eg, your name or your server’s hostname) []:yueyong  //您的主机名
Email Address []:yyli2008@163.com   //邮箱
Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:yueyong  //设置密码
An optional company name []:li  //一个可选的公司名称
用请求证书文件和私钥文件，生成一个公钥

这里的信息能够不用填写，直接回车也行

由于这是本身给本身颁发的证书，能够随意填写，如果购买那些正式的证书，那证书的信息就须要填写相对应的信息
生成公钥，命令openssl x509 -req -days 365 -in yyl.csr -signkey yyl.key -out yyl.crt

[root@yong-01 conf]# openssl x509 -req -days 365 -in yyl.csr -signkey yyl.key -out yyl.crt
Signature ok
subject=/C=cn/ST=guangdong/L=shenzhen/O=li/OU=li/CN=yueyong/emailAddress=yyli2008@163.com
Getting Private key

-days 365 证书的日期是一年
yyl.crt是公钥，yyl.key是私钥

Nginx配置ssl目录概要

vim /usr/local/nginx/conf/vhost/ssl.conf//加入以下内容

server
{
    listen 443;
    server_name aming.com;
    index index.html index.php;
    root /data/wwwroot/aming.com;
    ssl on;
    ssl_certificate aminglinux.crt;
    ssl_certificate_key aminglinux.key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
}

-t && -s reload //若报错unknown directive “ssl” ，须要从新编译nginx，加上--with-http_ssl_module
mkdir /data/wwwroot/aming.com
echo “ssl test page.”>/data/wwwroot/aming.com/index.html
编辑hosts，增长127.0.0.1 aming.com
curl https://aming.com/

Nginx配置ssl

在有了公钥和私钥以后，配置nginx
生成新的配置文件 vim /usr/local/nginx/conf/vhost/ssl.conf

[root@yong-01 conf]# vim /usr/local/nginx/conf/vhost/ssl.conf
添加如下内容
server
{
    listen 443;        //监听端口为443
    server_name yongge.com;   //主机名
    index index.html index.php;
    root /data/wwwroot/yongge.com;   //root 目录
    ssl on;                                            //开启ssl
    ssl_certificate yyl.crt;      //指定公钥
    ssl_certificate_key yyl.key;   //指定私钥
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;   //ssl 的协议
}

ssl 的协议，通常状况下，三种协议都配置上
建立/data/wwwroot/yongge.com目录

[root@yong-01 vhost]# mkdir /data/wwwroot/yongge.com

检查配置文件语法

[root@yong-01 vhost]# /usr/local/nginx/sbin/nginx -t
nginx: [emerg] unknown directive "erver" in /usr/local/nginx/conf/vhost/ssl.conf:2
nginx: configuration file /usr/local/nginx/conf/nginx.conf test failed

报错：
- 由于不知道这个 ssl 配置，在编译nginx的时候，并无指定支持ssl

[root@yong-01 vhost]# /usr/local/nginx/sbin/nginx -V
nginx version: nginx/1.4.7
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-16) (GCC) 
configure arguments: --prefix=/usr/local/nginx

解决办法
- 从新编译nginx
从新编译nginx

[root@yong-01 vhost]# cd /usr/local/src/nginx-1.4.7/
[root@yong-01 nginx-1.4.7]# ./configure --help |grep -i ssl
  --with-http_ssl_module             enable ngx_http_ssl_module
  --with-mail_ssl_module             enable ngx_mail_ssl_module
  --with-openssl=DIR                 set path to OpenSSL library sources
  --with-openssl-opt=OPTIONS         set additional build options for OpenSSL

编译的时候须要加上--with-http_ssl_module
初始化./configure --prefix=/usr/local/nginx --with-http_ssl_module

[root@yong-01 nginx-1.4.7]# ./configure --prefix=/usr/local/nginx --with-http_ssl_module

编译 make&&make install

[root@yong-01 nginx-1.4.7]# make install

查看nginx的编译参数，会看到增长了--with-http_ssl_module

[root@yong-01 nginx-1.4.7]# /usr/local/nginx/sbin/nginx -V
nginx version: nginx/1.4.7
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-16) (GCC) 
TLS SNI support enabled
configure arguments: --prefix=/usr/local/nginx --with-http_ssl_module

检查配置文件语法错误

[root@yong-01 vhost]# /usr/local/nginx/sbin/nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful

重启nginx

[root@yong-01 vhost]# service nginx restart
Restarting nginx (via systemctl):                          [  肯定  ]

查看监听端口，会看到多出一个443端口

[root@yong-01 vhost]# netstat -lntp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      4311/nginx: master  
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1114/sshd           
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1470/master         
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      4311/nginx: master  
tcp6       0      0 :::22                   :::*                    LISTEN      1114/sshd           
tcp6       0      0 ::1:25                  :::*                    LISTEN      1470/master         
tcp6       0      0 :::3306                 :::*                    LISTEN      1426/mysqld

[root@yong-01 vhost]# cd /data/wwwroot/yongge.com/
[root@yong-01 yongge.com]# ls
[root@yong-01 yongge.com]# vim index.html

This is a ssl.

测试，如果直接访问会报400

[root@yong-01 yongge.com]# curl -x127.0.0.1:443 https://yongge.com/
curl: (56) Received HTTP code 400 from proxy after CONNECT

在虚拟机中 /etc/写hosts

[root@yong-01 yongge.com]# vim /etc/hosts
加入如下内容
127.0.0.1 yongge.com

测试，不指定-x访问

[root@yong-01 yongge.com]# curl https://yongge.com/
curl: (60) Peer's certificate issuer has been marked as not trusted by the user.
More details here: http://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
 of Certificate Authority (CA) public keys (CA certs). If the default
 bundle file isn't adequate, you can specify an alternate file
 using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
 the bundle, the certificate verification probably failed due to a
 problem with the certificate (it might be expired, or the name might
 not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
 the -k (or --insecure) option.

就是说你这个证书被标记为不可信任了，由于这个证书是本身颁发的，其实是已经配置成功了
在windows中的host文件添加，并保存

192.168.180.134     yongge.com

浏览器访问yongge.com，会看到加载超时mysql
这时查看虚拟机防火墙iptables -nvL，如果防火墙存在，能够直接ipbables -F清空全部规则，若不想清空全部规则能够增长443端口的规则 iptables -I INPUT -p tcp --dport 443 -j ACCEPTlinux
这时再来访问yongge.com，会提示是否信任证书，选择是，会访问成功

这个就是本身颁发证书，浏览器不被信任的时候，会显示红色不安全，而不是绿色
之后若想正常的访问https，能够去沃通买证书

Nginx负载均衡 ssl原理 生成ssl密钥对 Nginx配置ssl