码迷,mamicode.com
首页 > 系统相关 > 详细

2018-3-16 Linux学习笔记

时间:2018-03-16 19:37:24      阅读:234      评论:0      收藏:0      [点我收藏+]

标签:12.17 Nginx负载均衡   12.18 ssl原理   12.19 生成ssl密钥对   12.20 Nginx配置ssl   

12.17 Nginx负载均衡
  • Nginx负载均衡和Nginx代理本质其实是一样的,只不过是当Nginx代理服务器连接有多个Web服务器时,它就可实现负载均衡的作用(借助upstream模块来实现).
  • Nginx负载均衡配置方法:
    vim /usr/local/nginx/conf/vhost/load.conf
  • 写入如下内容:
    upstream qq_com
    {
    ip_hash;
    server 14.17.32.211:80;
    server 14.17.42.40:80;
    }
    server
    {
    listen 80;
    server_name www.qq.com;
    location /
    {
    proxy_pass http://qq_com;
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
    }

  • /usr/local/nginx/sbin/nginx -t
  • /usr/local/nginx/sbin/nginx -s reload

  • 测试结果:
  • 配置前:
    curl -x127.0.0.1:80 www.qq.com
    技术分享图片
  • 配置后:
    curl -x127.0.0.1:80 www.qq.com
    技术分享图片

  • 说明:
    (1)upstream来指定多个web server.
    (2)ip_hash的作用是让同一个用户始终保持连接到同一台web服务器上,避免服务中断.
    (3)其中server的IP地址可通过dig qq.com来获得.

  • 知识点:
    nginx不支持代理https(443端口),只支持代理http(80端口).

12.18 ssl原理

  • SSL的工作原理示意图:
    技术分享图片
  • (1)浏览器发送一个https的请求给服务器;
    服务器要有一套数字证书,可以自己制作(后面的操作就是以自己制作的证书为例),也可以向组织申请,区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹出>提示页面,这套证书其实就是一对公钥和私钥;

  • (2)服务器会把公钥传输给客户端;
    客户端(浏览器)收到公钥后,会验证其是否合法有效,无效会有警告提醒,有效则会生成一串随机数,并用收到的公钥加密;
  • (3)客户端把加密后的随机字符串传输给服务器;
    服务器收到加密随机字符串后,先用私钥解密(公钥加密,私钥解密),获取到这一串随机数后,再用这串随机字符串加密传输的数据(该加密为对称加密,所谓对称加密,就是将数据和私钥也就是这个随机字符串通过某种算法混合在一起,这样除非知道私钥,否则无法获取数据内容);

  • (4)服务器把加密后的数据传输给客户端;
    客户端收到数据后,再用自己的私钥也就是那个随机字符串解密;

12.19 生成ssl密钥对

  • 生成ssl密钥对的步骤:
    cd /usr/local/nginx/conf
  • (1) 生成私钥tmp.key
    openssl genrsa -des3 -out tmp.key 2048
  • (2) 将tmp.key转换成testssl.key(两者其实是同一个,转换只是为了取消自带的密码方便实际应用),转换后的testssl.key不用密码.
    openssl rsa -in tmp.key -out testssl.key
  • (3) 删除带密码的tmp.key(因为已用不到)
    rm -f tmp.key
  • (4) 生成证书请求文件testssl.csr
    openssl req -new -key testssl.key -out testssl.csr
  • (5) 用证书请求文件testssl.csr和私钥testssl.key生产公钥文件testssl.crt
    openssl x509 -req -days 365 -in testssl.csr -signkey testssl.key -out testssl.crt
    技术分享图片
  • 说明:
    通常.key文件为私钥,而.crt文件为公钥.

  • 知识点:
    查看一个命令是用哪个包安装的方法(此处以openssl为例)
    rpm -qf which openssl #这里的单引号是键盘Tab键上的那一个
    技术分享图片

12.20 Nginx配置ssl

  • Nginx配置ssl的步骤:
  • 生成一个新的配置文件ssl.conf
    vim /usr/local/nginx/conf/vhost/ssl.conf
  • 加入如下内容
    server
    {
    listen 443;
    server_name testssl.com;
    index index.html index.php;
    root /data/wwwroot/testssl.com;
    ssl on;
    ssl_certificate testssl.crt;
    ssl_certificate_key testssl.key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    }
    /usr/local/nginx/sbin/nginx -t
    /etc/init.d/nginx restart #重启nginx
    netstat -lntp #查看是否已监听443端口
    技术分享图片

  • mkdir /data/wwwroot/testssl.com
  • echo “ssl test page.”>/data/wwwroot/testssl.com/index.html
  • 编辑虚拟机hosts,增加127.0.0.1 testssl.com
    curl https://testssl.com/ #访问测试
    技术分享图片
    技术分享图片
  • 也可编辑我们windows主机中的C:\Windows\System32\drivers\etc\hosts文件,增加127.0.0.1 testssl.com,然后在浏览器中输入https://testssl.com来测试.

  • 注意:
    若/usr/local/nginx/sbin/nginx -t时报错unknown directive“ssl”,则需要重新编译nginx,加上--with-http_ssl_module
    技术分享图片
  • 具体如下:
    cd /usr/local/src/nginx-1.12.1
    ./configure --help | grep -i ssl #查看现有的带ssl的可选项
    ./configure --prefix=/usr/local/nginx/ --with-http_ssl_module
    make
    make install
    /usr/local/nginx/sbin/nginx -V #查看--with-http_ssl_module是否正确安装
    技术分享图片

扩展学习:
针对请求的uri来代理
http://ask.apelearn.com/question/1049
根据访问的目录来区分后端的web
http://ask.apelearn.com/question/920
nginx长连接
http://www.apelearn.com/bbs/thread-6545-1-1.html
nginx算法分析
http://blog.sina.com.cn/s/blog_72995dcc01016msi.html

2018-3-16 Linux学习笔记

标签:12.17 Nginx负载均衡   12.18 ssl原理   12.19 生成ssl密钥对   12.20 Nginx配置ssl   

原文地址:http://blog.51cto.com/13517946/2087710

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!