linux学习第四十七篇:Nginx负载均衡,ssl原理,生产ssl密钥对,Nginx配置ssl

Nginx负载均衡

负载均衡,将用户的所有HTTP请求均衡的分配到每一台机器上,充分发挥所有机器的性能,提高服务的质量和用户体验。

  • vim /usr/local/nginx/conf/vhost/ld.conf 写入如下内容
upstream qq_com
{
    ip_hash; //让同一个用户始终保持在同一个机器上
    server 61.135.157.156:80;
    server 112.90.83.112:80;
}
server
{
    listen 80;
    server_name www.qq.com;
    location /
    {
        proxy_pass      http://qq_com; //qq_com这个名字代表的是上面的两个IP
        proxy_set_header Host   $host;
        proxy_set_header X-Real-IP      $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}
//upstream来指定多个web server
  • 这里我们用的是qq.com来做实验,我们可以用命令dig来解析qq.com这个域名的IP地址,命令dig的安装包是:yum install -y bind-utils,这里返回了两个IP地址。用命令ping也可以解析到,不过只能解析到一个IP。

curl -x127.0.0.1:80 www.qq.com 用我们的虚拟机也可以访问www.qq.com了

ssl原理

浏览器发送一个https的请求给服务器;服务器要有一套数字证书,可以自己制作(后面的操作就是阿铭自己制作的证书),也可以向组织申请,区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹出>提示页面,这套证书其实就是一对公钥和私钥; 服务器会把公钥传输给客户端; 客户端(浏览器)收到公钥后,会验证其是否合法有效,无效会有警告提醒,有效则会生成一串随机数,并用收到的公钥加密; 客户端把加密后的随机字符串传输给服务器; 服务器收到加密随机字符串后,先用私钥解密(公钥加密,私钥解密),获取到这一串随机数后,再用这串随机字符串加密传输的数据(该加密为对称加密,所谓对称加密,就是将数据和私钥也就是这个随机字符串>通过某种算法混合在一起,这样除非知道私钥,否则无法获取数据内容); 服务器把加密后的数据传输给客户端; 客户端收到数据后,再用自己的私钥也就是那个随机字符串解密;

生产ssl密钥对

  • 把公钥私钥放在这个目录下: cd /usr/local/nginx/conf
  • 生成私钥,key文件为私钥(2048是长度): openssl genrsa -des3 -out tmp.key 2048
  • 转换key,取消密码(-in指定哪个密钥,-out输出): openssl rsa -in tmp.key -out aminglinux.key
  • 删除私钥: rm -f tmp.key
  • 生成证书请求文件,需要拿这个文件和私钥一起生产公钥文件: openssl req -new -key aminglinux.key -out aminglinux.csr 因为是颁发给自己的证书所以信息可以随便填一下
  • 用刚才的证书请求文件和之前的私钥文件一起生成公钥文件: openssl x509 -req -days 365 -in aminglinux.csr -signkey aminglinux.key -out aminglinux.crt //这里的aminglinux.crt为公钥。days为365是证书的日期是一年

Nginx配置ssl

  • 编辑ssl配置文件: vim /usr/local/nginx/conf/vhost/ssl.conf 加入如下内容:
server
{
    listen 443;
    server_name aming.com;
    index index.html index.php;
    root /data/wwwroot/aming.com;
    ssl on; //开启ssl,支持https
    ssl_certificate aminglinux.crt; //指定公钥
    ssl_certificate_key aminglinux.key; //指定私钥
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
}
  • 创建aming.com目录: mkdir /data/wwwroot/aming.com
  • 测试加载配置文件,若报错unknown directive “ssl” ,需要重新编译nginx,加上–with-http_ssl_module -t && -s reload 当初编译的时候没有指定支持ssl,所以需要重新编译。

进入Nginx的源码包中,重新编译:./configure –prefix=/usr/local/nginx –with-http_ssl_module

装好后记得 make && make install 现在就多了http_ssl_module这个参数。

然后再重新-t测试语法,这次就可以了。

  • /etc/init.d/nginx restart 重启Nginx之后就会发现多了443的监听端口:
  • 编辑访问文件: echo “ssl test page.”>/data/wwwroot/aming.com/index.html
  • 编辑hosts,增加127.0.0.1 aming.com
  • curl https://aming.com/ 这个问题是被标志为不可信任,因为这个证书是我们自己颁发的,但是实际上是配置成功了。

用浏览器访问: 记得要在windows上的hosts上添加定义aming.com。 如果访问不到是因为有防火墙,简单的话可以清空规则iptables -F,也可以添加443端口的规则。 这里显示不安全,是因为证书不被浏览器认可,想继续访问可以点击高级然后点继续前往就可以访问到内容。

扩展 针对请求的uri来代理 http://ask.apelearn.com/question/1049 根据访问的目录来区分后端的web http://ask.apelearn.com/question/920 nginx长连接 http://www.apelearn.com/bbs/thread-6545-1-1.html nginx算法分析 http://blog.sina.com.cn/s/blog_72995dcc01016msi.html

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Angular&服务

申请安卓签名证书

(-alias android.keystore生成的android.keystore别名,-keyalg RSA 加密和数字签名的算法 ,-validity ...

10010
来自专栏Java学习123

git配置全局用户名密码、生成ssh,添加到gitlab

74960
来自专栏云计算教程系列

如何使用Ubuntu 16.04上的Let's Encrypt保护Apache

本教程将向您展示如何在运行Apache作为Web服务器的Ubuntu 16.04服务器上设置Let's Encrypt的TLS / SSL证书。

30100
来自专栏bboysoul

esxi 更换ssl证书

就是想换一个证书而已,你可以通过下面的途径去申请一个泛解析域名的证书之后再esxi上安装上

41910
来自专栏云计算教程系列

如何在Ubuntu 16.04中为Nginx创建自签名SSL证书

TLS或称传输层安全性,及其前身SSL(代表安全套接字层)是用于将正常流量包装在受保护的加密包装中的Web协议。

54900
来自专栏小白安全

小白博客 kali Linux系统下Joomscan工具的使用方法

Joomscan 由于其灵活性,Joomla可能是使用最广泛的CMS。对于这个CMS,它是一个Joomla扫描仪。 它将帮助网络开发人员和网站管理员帮助确...

40860
来自专栏编程

Nginx HTTP Server中的SSL证书错误

安装SSL证书时快速解决Nginx HTTP服务器错误! Nginx HTTP Server是免费的开放源代码,它附带了高性能的HTTP服务器和反向代理。Ngi...

30880
来自专栏云原生架构实践

Docker Data Center系列(五)- 使用自定义的TLS安全认证

commonName(CN)设置为UCP(DTR)所在主机名或FQDN。也可以设置为一个泛域名(*.yourcompany.com),其它都使用默认值。

23770
来自专栏FreeBuf

Apache shiro 1.2.4版本远程命令执行漏洞详解

*本文原创作者:zhujunboabc,本文属FreeBuf原创奖励计划,未经许可禁止转载 搜了一下,发现网上关于apache shiro 1.2.4版本的漏洞...

38050
来自专栏云计算教程系列

如何在Ubuntu上使用SSL来保护Nginx

腾讯云SSL是腾讯云的证书颁发服务,SSL证书(SSL Certificates)提供了安全套接层(SSL)证书的一站式服务,包括证书申请、管理及部署功能,与顶...

51820

扫码关注云+社区

领取腾讯云代金券