12.17 Nginx負載均衡 12.18 ssl原理 12.19 生成ssl密鑰對 12.20 Nginx配置ssl

12.17 Nginx負載均衡

yum install bind-utils
dig baidu.com     //  返回3個ip,其實就 域名解析


baidu.com.        152    IN    A    123.125.114.144
baidu.com.        152    IN    A    111.13.101.208
baidu.com.        152    IN    A    220.181.57.217

vim /usr/local/nginx/conf/vhost/load.conf // 寫入以下內容

upstream baidu_com
{
    ip_hash;    //目的讓同一個用戶保持在同一個機器上
    server 123.125.114.144:80;   //定義3個server, 若是端口是80能夠省略:80
    server 111.13.101.208;
    server 220.181.57.217;
}
server
{
    listen 80;   //定義監聽端口, 域名是什麼
    server_name www.baidu.com;
    location /
    {
        proxy_pass     http://baidu_com;   //這裏和上面的upstream名字保持一致
        proxy_set_header Host   $host;
        proxy_set_header X-Real-IP      $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

upstream來指定多個web server

測試:

沒作代理|負載均衡前:

/usr/local/nginx/sbin/nginx -t && /usr/local/nginx/sbin/nginx -s reload

作代理|負載均衡後: 可訪問到百度的內容

12.18 ssl原理

瀏覽器發送一個https的請求給服務器；

服務器要有一套數字證書，能夠本身製做（後面的操做就是阿銘本身製做的證書），也能夠向組織申請，區別就是本身頒發的證書須要客戶端驗證經過，才能夠繼續訪問，而使用受信任的公司申請的證書則不會彈出>提示頁面，這套證書其實就是一對公鑰和私鑰；

服務器會把公鑰傳輸給客戶端；

客戶端（瀏覽器）收到公鑰後，會驗證其是否合法有效，無效會有警告提醒，有效則會生成一串隨機數，並用收到的公鑰加密；

客戶端把加密後的隨機字符串傳輸給服務器；

服務器收到加密隨機字符串後，先用私鑰解密（公鑰加密，私鑰解密），獲取到這一串隨機數後，再用這串隨機字符串加密傳輸的數據/網站的內容（該加密爲對稱加密，所謂對稱加密，就是將數據和私鑰也就是這個隨機字符串>經過某種算法混合在一塊兒，這樣除非知道私鑰，不然沒法獲取數據內容）；

服務器把加密後的數據傳輸給客戶端；

客戶端收到數據後，再用本身的私鑰也就是那個隨機字符串解密；

12.19 生成ssl密鑰對

cd /usr/local/nginx/conf
 openssl genrsa -des3 -out tmp.key 2048//key文件爲私鑰
 openssl rsa -in tmp.key -out aminglinux.key //轉換key，取消密碼, 產生個沒密碼的私鑰
 rm -f tmp.key   //有密碼的私鑰不要了,rm掉
 openssl req -new -key aminglinux.key -out aminglinux.csr//生成證書請求文件，須要拿這個文件和私鑰一塊兒生產公鑰文件
 openssl x509 -req -days 365 -in aminglinux.csr -signkey aminglinux.key -out aminglinux.crt   //證書有效期1年365天
 這裏的aminglinux.crt爲公鑰

12.20 Nginx配置ssl

vim /usr/local/nginx/conf/vhost/ssl.conf//加入以下內容

server
{
    listen 443;
    server_name aming110.com;
    index index.html index.php;
    root /data/wwwroot/aming110.com;
    ssl on;
    ssl_certificate aminglinux.crt;     //公鑰
    ssl_certificate_key aminglinux.key;    //私鑰
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
}


-t && -s reload //若報錯unknown directive 「ssl」 ，須要從新編譯nginx，加上--with-http_ssl_module, 步驟以下
從新編譯  須要保證編譯參數和原來同樣或者比原來還要多，不然原來的模塊就不能用了


cd /usr/local/src/nginx-1.12.2/
./configure  --help | grep -i ssl


./configure   --prefix=/usr/local/nginx  --with-http_ssl_module 
make &&  make install

測試模塊是否安裝成功
/usr/local/nginx/sbin/nginx -V



重啓nginx , 查看監聽端口 443


測試:
mkdir /data/wwwroot/aming110.com
echo 「ssl test page.」>/data/wwwroot/aming110.com/index.html
編輯etc/hosts，增長127.0.0.1 aming110.com
curl https://aming110.com/    //測試  已經成功, 但提示證書爲不可信任



經過本身電腦的瀏覽器訪問 https://aming110.com/  成功   // 本身電腦hosts 也要增長 127.0.0.1 aming110.com

想要正規的ssh, 要去網站買, 沃通  https://www.wosign.com/