lnmp(六)——php-fpm相關設定
阿新 • • 發佈:2018-11-30
12.17 Nginx負載均衡
12.18 ssl原理
12.19 生成ssl金鑰對
12.20 Nginx配置ssl
12.17 Nginx負載均衡
負載均衡與代理類似,負載均衡相當於代理多個並行對web伺服器。vim /usr/local/nginx/conf/vhost/load.conf 寫入如下內容:
upstream qq_com { ip_hash; server 61.135.157.156:80; server 125.39.240.113:80; } server { listen 80; server_name www.qq.com; location / { proxy_pass http://qq.com; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } }
上面的語句中upstream來指定多個web server。ip_hash是nginx提供的一種演算法,用來實現分流到後面的web伺服器。
12.18 ssl原理
ssl是現在很流行的網路加密方式,和http訪問類似,只是多了一個加密互傳的過程。一下的是具體的過程:
- 瀏覽器傳送一個https的請求給伺服器;
- 伺服器有一套數字證書。這套證書可以自己製作,也可以向組織申請。區別就是自己頒發的證書需要客戶端驗證通過才可以繼續訪問,而使用受信任的公司申請的證書則不會彈出提示頁面。這套證書其實就是一對公鑰和私鑰;
- 伺服器會把公鑰傳輸給客戶端;
- 客戶端(瀏覽器)收到公鑰後,會驗證其是否合法有效,無效會有警告提醒,有效則會生成一串隨機數,並用收到的公鑰加密;
- 客戶端把加密後的隨機字串傳輸給伺服器;
- 伺服器收到加密隨機字串後,先用私鑰解密(公鑰加密,私鑰解密),獲取到這一串隨機數後,再用這串隨機字串加密傳輸的資料(該加密為對稱加密,所謂對稱加密,就是將資料和私鑰也就是這個隨機字串>通過某種演算法混合在一起,這樣除非知道私鑰,否則無法獲取資料內容);
- 伺服器把加密後的資料傳輸給客戶端;
- 客戶端收到資料後,再用自己的私鑰也就是那個隨機字串解密;
現在https已經很流行了,甚至許多個人部落格都開始使用https。
12.19 生成ssl金鑰對
上面講過,伺服器有一套數字證書,所以我們要先生成ssl金鑰對:
- cd /usr/local/nginx/conf #進入nginx的conf目錄
- openssl genrsa -des3 -out tmp.key 2048 #生成key檔案,這個是私鑰
- openssl rsa -in tmp.key -out aminglinux.key #轉換key,取消密碼
- rm -f tmp.key #刪除有密碼的key檔案,之後用不到了
- openssl req -new -key linux.key -out linux.csr #生成證書請求檔案,需要拿這個檔案和私鑰一起生產公鑰檔案
- openssl x509 -req -days 365 -in linux.csr -signkey linux.key -out aminglinux.crt #這裡的linux.crt為公鑰
12.20 Nginx配置ssl
有了金鑰對就可以配置ssl,vim /usr/local/nginx/conf/vhost/ssl.conf 加入如下內容
server
{
listen 443;
server_name aming.com;
index index.html index.php;
root /data/wwwroot/aming.com;
ssl on;
ssl_certificate aminglinux.crt;
ssl_certificate_key aminglinux.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
}
nginx -t &&nginx -s reload ,若報錯unknown directive “ssl” ,需要重新編譯nginx,加上–with-http_ssl_module選項。
mkdir /data/wwwroot/abc.com
echo “ssl test page.”>/data/wwwroot/abc.com/index.html
編輯hosts,增加127.0.0.1 abc.com
curl https://abc.com/ 。或者用其他機器的瀏覽器訪問,記得設定第三方機器對hosts檔案。