50.Nginx負載均衡、ssl原理、生成ssl密鑰對、Nginx配置ssl
阿新 • • 發佈:2018-04-29
Nginx負載均衡 ssl原理、 生成ssl密鑰對 Nginx配置ssl 一、Nginx負載均衡
dig www.qq.com
curl -x127.0.0.1:80 www.qq.com
vim /usr/local/nginx/conf/vhost/load.conf // 寫入如下內容
upstream qq_com //隨便起個名字 { ip_hash; //讓同一個用戶始終保持在同一個ip上 server 125.39.240.113:80; server 61.135.157.156:80; } server { listen 80; server_name www.qq.com; location / { proxy_pass http://qq_com; //這裏的地址是upstream proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } }
- upstream來指定多個web server
/usr/local/nginx/sbin/nginx -t
/usr/local/nginx/sbin/nginx -s reload
curl -x127.0.0.1:80 www.qq.com
這時候已經訪問到qq的主頁
二、SSL工作流程
- 瀏覽器發送一個https的請求給服務器;
- 服務器要有一套數字證書,可以自己制作,也可以向組織申請,區別就是自己頒發的證書需要客戶端驗證通過,才可以繼續訪問,而使用受信任的公司申請的證書則不會彈出>提示頁面,這套證書其實就是一對公鑰和私鑰;
- 服務器會把公鑰傳輸給客戶端;
*客戶端(瀏覽器)收到公鑰後,會驗證其是否合法有效,無效會有警告提醒,有效則會生成一串隨機數,並用收到的公鑰加密; - 客戶端把加密後的隨機字符串傳輸給服務器;
- 服務器收到加密隨機字符串後,先用私鑰解密(公鑰加密,私鑰解密),獲取到這一串隨機數後,再用這串隨機字符串加密傳輸的數據(該加密為對稱加密,所謂對稱加密,就是將數據和私鑰也就是這個隨機字符串>通過某種算法混合在一起,這樣除非知道私鑰,否則無法獲取數據內容);
- 服務器把加密後的數據傳輸給客戶端;
- 客戶端收到數據後,再用自己的私鑰也就是那個隨機字符串解密;
三、生成SSL密鑰對
cd /usr/local/nginx/conf openssl genrsa -des3 -out tmp.key 2048 //key文件為私鑰,這時候需要輸入兩次密碼 openssl rsa -in tmp.key -out chinantfy.key //轉換key,取消密碼 rm -f tmp.key //刪除帶密碼的key openssl req -new -key chinantfy.key -out chinantfy.csr //生成證書請求文件,需要輸入國家地區等信息,可以不填直接回車,這個文件的作用是拿這個文件和私鑰一起生產公鑰文件, openssl x509 -req -days 365 -in chinantfy.csr -signkey chinantfy.key -out chinantfy.crt
- 這裏的chinantfy.crt為公鑰
四、Nginx配置SSL
vim /usr/local/nginx/conf/vhost/ssl.conf//加入如下內容
server
{
listen 443;
server_name chinantfy.com;
index index.html index.php;
root /data/wwwroot/chinantfy.com;
ssl on;
ssl_certificate chinantfy.crt;
ssl_certificate_key chinantfy.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
}
/usr/local/nginx/sbin/nginx -t
配置出錯,nginx少一個ssl (若報錯unknown directive “ssl” ,需要重新編譯nginx,加上--with-http_ssl_module)
./configure --help | grep -i ssl
- 重新編譯nginx
./configure --prefix=/usr/local/nginx --with-http_ssl_module
make && make install
/usr/local/nginx/sbin/nginx -t
/usr/local/nginx/sbin/nginx -s reload
/etc/init.d/nginx restart
mkdir /data/wwwroot/chinantfy.com
echo "ssl test page.">/data/wwwroot/chinantfy.com/index.html
-
編輯windows hosts文件,增加192.168.127.133(本機ip) chinantfy.com
用瀏覽器訪問 https://chinantfy.com - 因為是個人制作的秘鑰對,瀏覽器認為不安全,會出現不安全提示,單擊繼續即可
如果需要瀏覽器認證的安全秘鑰對,可以去www.wosign.com 這種網站買認證的
50.Nginx負載均衡、ssl原理、生成ssl密鑰對、Nginx配置ssl