Nginx負載均衡 ssl原理生成ssl密鑰對 Nginx配置ssl

時間 2019-12-18

標籤 nginx 負載均衡 ssl 原理生成密鑰配置欄目 Nginx 简体版

原文原文鏈接

6月12任務

12.17 Nginx負載均衡
12.18 ssl原理
12.19 生成ssl密鑰對
12.20 Nginx配置ssl
擴展
針對請求的uri來代理 http://ask.apelearn.com/question/1049
根據訪問的目錄來區分後端的web http://ask.apelearn.com/question/920
nginx長鏈接 http://www.apelearn.com/bbs/thread-6545-1-1.html
nginx算法分析 http://blog.sina.com.cn/s/blog_72995dcc01016msi.htmlphp

Nginx負載均衡目錄概要

vim /usr/local/nginx/conf/vhost/load.conf // 寫入以下內容

upstream qq_com
{
    ip_hash;
    server 61.135.157.156:80;
    server 125.39.240.113:80;
}
server
{
    listen 80;
    server_name www.qq.com;
    location /
    {
        proxy_pass      http://qq_com;
        proxy_set_header Host   $host;
        proxy_set_header X-Real-IP      $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

upstream來指定多個web server

Nginx負載均衡

代理一臺機器稱爲代理，代理兩臺機器就能夠稱爲負載均衡
代理服務器後面能夠有多個web服務器，多個web服務器去提供服務的時候，就能夠實現一個負載均衡的功能
正常狀況下，用戶訪問web服務器，是一臺一臺去請求；要麼就是指定一個IP，把這域名解析到多臺服務器上
案例
- 用戶1 –> web1服務器
- 用戶2 –> web2服務器
  - 假設這時web1服務器掛掉了（宕機），用戶1由於解析到了web1，但web1宕機了，因此就沒法正常訪問
  - 這時候如果用nginx的負載均衡，在web1宕機後，代理服務器就不會把請求發送給web1，這就是代理的一個優勢，負載均衡的優勢
配置負載均衡，負載均衡的配置藉助了upstream 模塊
這裏將qq.com做爲演示對象
dig命令查看解析的IP——>yum install -y bind-utils

[root@yong-01 vhost]# yum install bind-utils -y

[root@yong-01 vhost]# dig qq.com

; <<>> DiG 9.9.4-RedHat-9.9.4-61.el7 <<>> qq.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55322
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;qq.com.				IN	A

;; ANSWER SECTION:
qq.com.			353	IN	A	111.161.64.48
qq.com.			353	IN	A	111.161.64.40

;; Query time: 27 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: 二 6月 12 21:38:12 CST 2018
;; MSG SIZE  rcvd: 67

會看到返回出兩個IP，這個就是域名解析，也就是qq.com解析到了兩個IP上
這時候就能夠用這兩個IP 111.161.64.48和111.161.64.40，去作負載均衡
寫一個配置文件vim /usr/local/nginx/conf/vhost/load.conf

[root@yong-01 vhost]# vim load.conf

寫入如下內容
upstream qq_com        //upstream後的名稱自定義
{
    ip_hash;        //目的是爲了讓同一個用戶始終保持在同一個機器上
    server 111.161.64.40:80;    //若是域名解析端口是80，這段配置上的指定端口80是能夠省略的
    server 111.161.64.48:80;
}
server
{
    listen 80;    //定義監聽端口
    server_name www.qq.com;     //域名

    location /
    {
        proxy_pass      http://qq_com;         //這裏填寫的是upstream 的名字
即「http://upstream」，由於做爲一個模塊，代理訪問的是經過解析後的IP訪問；
        proxy_set_header Host   $host;
        proxy_set_header X-Real-IP      $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

upstream來指定多個web server
當有多個服務器同時對一個域名提供服務的時候，長時間訪問一個域名，在必定的時效內，會出現須要從新登陸或者是說跳轉到另一個地址的服務器上；ip_hash，就是使經過這個代理訪問的同一個域名的多個IP的服務器是，始終保持在一個IP上對這個域名進行訪問
在未加載配置的時候，本機去訪問qq.com，會去訪問默認虛擬主機

[root@yong-01 vhost]# curl -x127.0.0.1:80 www.qq.com
This is a test default site.

測試訪問qq.com ，檢查配置文件語法，並從新加載

[root@yong-01 vhost]# /usr/local/nginx/sbin/nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[root@yong-01 vhost]# /usr/local/nginx/sbin/nginx -s reload

這時再來訪問qq.com，會看到的是qq.com的主頁，反饋回來的是網頁的源碼

[root@yong-01 vhost]# curl -x127.0.0.1:80 www.qq.com

這個就是負載均衡

nginx代理和負載均衡的知識點

nginx不支持去代理https，也就是在配置文件中的server 後不能寫443，是不支持的，只能代理http、tcp
若想要實現代理https，nginx監聽443端口，但web服務必須是80端口

ssl原理

https的相關知識點
要配置nginx和https，就須要首先去了解https是什麼？
在訪問一些網站的時候，會自動加上了https前標
http和https的區別
- https通訊是加密的，若是不加密，中間傳輸數據包的有時候會被截到，就會致使信息泄露，https就是對這個通訊的數據包進行加密
SSL工做流程
- 瀏覽器發送一個https的請求給服務器；
- 服務器要有一套數字證書，能夠本身製做（後面的操做就是阿銘本身製做的證書），也能夠向組織申請，區別就是本身頒發的證書須要客戶端驗證經過，才能夠繼續訪問，而使用受信任的公司申請的證書則不會彈出>提示頁面，這套證書其實就是一對公鑰（加密）和私鑰（解密）；
- 服務器會把公鑰傳輸給客戶端；
- 客戶端（瀏覽器）收到公鑰後，（這個過程是瀏覽器判斷的）會驗證其是否合法有效，無效會有警告提醒，有效則會生成一串隨機數，並用收到的公鑰加密；
- 客戶端把加密後的隨機字符串傳輸給服務器；
- 服務器收到加密隨機字符串後，先用私鑰解密（公鑰加密，私鑰解密），獲取到這一串隨機數後，再用這串隨機字符串加密傳輸的數據（該加密爲對稱加密，所謂對稱加密，就是將數據和私鑰也就是這個隨機字符串>經過某種算法混合在一塊兒，這樣除非知道私鑰，不然沒法獲取數據內容）；
- 服務器把加密後的數據傳輸給客戶端；
- 客戶端收到數據後，再用本身的私鑰也就是那個隨機字符串解密；

生成ssl密鑰對目錄概要

cd /usr/local/nginx/conf
openssl genrsa -des3 -out tmp.key 2048//key文件爲私鑰
openssl rsa -in tmp.key -out aminglinux.key //轉換key，取消密碼
rm -f tmp.key
openssl req -new -key aminglinux.key -out aminglinux.csr//生成證書請求文件，須要拿這個文件和私鑰一塊兒生產公鑰文件
openssl x509 -req -days 365 -in aminglinux.csr -signkey aminglinux.key -out aminglinux.crt 這裏的aminglinux.crt爲公鑰

生成ssl密鑰對

在本身的虛擬機生成ssl 須要用到openssl工具html

在虛擬上頒發一套證書，生成ssl
首先得有一個openssl工具
切換到/usr/local/nginx/conf/目錄下

[root@yong-01 ~]# cd /usr/local/nginx/conf/

如果沒有openssl工具，能夠安裝下
查看openssl工具是由哪一個安裝包安裝的

[root@yong-01 conf]# rpm -qf `which openssl`
openssl-1.0.2k-8.el7.x86_64

生成一個私鑰，命令openssl genrsa -des3 -out tmp.key 2048

[root@yong-01 conf]# openssl genrsa -des3 -out tmp.key 2048
Generating RSA private key, 2048 bit long modulus
.......+++
......................................................................+++
e is 65537 (0x10001)
Enter pass phrase for tmp.key:        //輸入密碼 123456
Verifying - Enter pass phrase for tmp.key:        //再次輸入密碼 123456

openssl genrsa -des3 -out tmp.key 2048
- genrsa ，表示生成rsa的私鑰
- 2048 ，2048長度
- 名字爲 tmp.key
生成這個祕鑰必需要有密碼

在生成這個祕鑰後比較麻煩，在nginx的配置文件裏指定密碼，每次訪問瀏覽器，在https這個網址輸入這個密碼會很不方便，因此還須要去除這個密碼
轉換key，取消密碼，命令 openssl rsa -in tmp.key -out gurui.key

-in 表示指定哪個祕鑰要被轉換
-out 表示指定輸出的

[root@yong-01 conf]# openssl rsa -in tmp.key -out yyl.key
Enter pass phrase for tmp.key:    //輸入tmp.key的密碼 123456
writing RSA key

這時候tmp.key和yyl.key是屬於同一個
tmp.key，有密碼
yyl.key，沒有密碼
刪除tmp.key

[root@yong-01 conf]# rm -f tmp.key

生成證書請求文件，須要拿這個請求文件和私鑰一塊兒生產公鑰文件

[root@yong-01 conf]# openssl req -new -key yyl.key -out yyl.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:cn              //國家，2個字母
State or Province Name (full name) []:guangdong      //省或州
Locality Name (eg, city) [Default City]:guangdong  //城市
Organization Name (eg, company) [Default Company Ltd]:li  //公司
Organizational Unit Name (eg, section) []:li   //組織
Common Name (eg, your name or your server’s hostname) []:yueyong  //您的主機名
Email Address []:yyli2008@163.com   //郵箱
Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:yueyong  //設置密碼
An optional company name []:li  //一個可選的公司名稱
用請求證書文件和私鑰文件，生成一個公鑰

這裏的信息能夠不用填寫，直接回車也行

由於這是本身給本身頒發的證書，能夠隨意填寫，如果購買那些正式的證書，那證書的信息就須要填寫相對應的信息
生成公鑰，命令openssl x509 -req -days 365 -in yyl.csr -signkey yyl.key -out yyl.crt

[root@yong-01 conf]# openssl x509 -req -days 365 -in yyl.csr -signkey yyl.key -out yyl.crt
Signature ok
subject=/C=cn/ST=guangdong/L=shenzhen/O=li/OU=li/CN=yueyong/emailAddress=yyli2008@163.com
Getting Private key

-days 365 證書的日期是一年
yyl.crt是公鑰，yyl.key是私鑰

Nginx配置ssl目錄概要

vim /usr/local/nginx/conf/vhost/ssl.conf//加入以下內容

server
{
    listen 443;
    server_name aming.com;
    index index.html index.php;
    root /data/wwwroot/aming.com;
    ssl on;
    ssl_certificate aminglinux.crt;
    ssl_certificate_key aminglinux.key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
}

-t && -s reload //若報錯unknown directive 「ssl」，須要從新編譯nginx，加上--with-http_ssl_module
mkdir /data/wwwroot/aming.com
echo 「ssl test page.」>/data/wwwroot/aming.com/index.html
編輯hosts，增長127.0.0.1 aming.com
curl https://aming.com/

Nginx配置ssl

在有了公鑰和私鑰以後，配置nginx
生成新的配置文件 vim /usr/local/nginx/conf/vhost/ssl.conf

[root@yong-01 conf]# vim /usr/local/nginx/conf/vhost/ssl.conf
添加如下內容
server
{
    listen 443;        //監聽端口爲443
    server_name yongge.com;   //主機名
    index index.html index.php;
    root /data/wwwroot/yongge.com;   //root 目錄
    ssl on;                                            //開啓ssl
    ssl_certificate yyl.crt;      //指定公鑰
    ssl_certificate_key yyl.key;   //指定私鑰
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;   //ssl 的協議
}

ssl 的協議，通常狀況下，三種協議都配置上
建立/data/wwwroot/yongge.com目錄

[root@yong-01 vhost]# mkdir /data/wwwroot/yongge.com

檢查配置文件語法

[root@yong-01 vhost]# /usr/local/nginx/sbin/nginx -t
nginx: [emerg] unknown directive "erver" in /usr/local/nginx/conf/vhost/ssl.conf:2
nginx: configuration file /usr/local/nginx/conf/nginx.conf test failed

報錯：
- 由於不知道這個 ssl 配置，在編譯nginx的時候，並無指定支持ssl

[root@yong-01 vhost]# /usr/local/nginx/sbin/nginx -V
nginx version: nginx/1.4.7
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-16) (GCC) 
configure arguments: --prefix=/usr/local/nginx

解決辦法
- 從新編譯nginx
從新編譯nginx

[root@yong-01 vhost]# cd /usr/local/src/nginx-1.4.7/
[root@yong-01 nginx-1.4.7]# ./configure --help |grep -i ssl
  --with-http_ssl_module             enable ngx_http_ssl_module
  --with-mail_ssl_module             enable ngx_mail_ssl_module
  --with-openssl=DIR                 set path to OpenSSL library sources
  --with-openssl-opt=OPTIONS         set additional build options for OpenSSL

編譯的時候須要加上--with-http_ssl_module
初始化./configure --prefix=/usr/local/nginx --with-http_ssl_module

[root@yong-01 nginx-1.4.7]# ./configure --prefix=/usr/local/nginx --with-http_ssl_module

編譯 make&&make install

[root@yong-01 nginx-1.4.7]# make install

查看nginx的編譯參數，會看到增長了--with-http_ssl_module

[root@yong-01 nginx-1.4.7]# /usr/local/nginx/sbin/nginx -V
nginx version: nginx/1.4.7
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-16) (GCC) 
TLS SNI support enabled
configure arguments: --prefix=/usr/local/nginx --with-http_ssl_module

檢查配置文件語法錯誤

[root@yong-01 vhost]# /usr/local/nginx/sbin/nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful

重啓nginx

[root@yong-01 vhost]# service nginx restart
Restarting nginx (via systemctl):                          [  肯定  ]

查看監聽端口，會看到多出一個443端口

[root@yong-01 vhost]# netstat -lntp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      4311/nginx: master  
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1114/sshd           
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1470/master         
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      4311/nginx: master  
tcp6       0      0 :::22                   :::*                    LISTEN      1114/sshd           
tcp6       0      0 ::1:25                  :::*                    LISTEN      1470/master         
tcp6       0      0 :::3306                 :::*                    LISTEN      1426/mysqld

[root@yong-01 vhost]# cd /data/wwwroot/yongge.com/
[root@yong-01 yongge.com]# ls
[root@yong-01 yongge.com]# vim index.html

This is a ssl.

測試，如果直接訪問會報400

[root@yong-01 yongge.com]# curl -x127.0.0.1:443 https://yongge.com/
curl: (56) Received HTTP code 400 from proxy after CONNECT

在虛擬機中 /etc/寫hosts

[root@yong-01 yongge.com]# vim /etc/hosts
加入如下內容
127.0.0.1 yongge.com

測試，不指定-x訪問

[root@yong-01 yongge.com]# curl https://yongge.com/
curl: (60) Peer's certificate issuer has been marked as not trusted by the user.
More details here: http://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
 of Certificate Authority (CA) public keys (CA certs). If the default
 bundle file isn't adequate, you can specify an alternate file
 using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
 the bundle, the certificate verification probably failed due to a
 problem with the certificate (it might be expired, or the name might
 not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
 the -k (or --insecure) option.

就是說你這個證書被標記爲不可信任了，由於這個證書是本身頒發的，其實是已經配置成功了
在windows中的host文件添加，並保存

192.168.180.134     yongge.com

瀏覽器訪問yongge.com，會看到加載超時mysql
這時查看虛擬機防火牆iptables -nvL，如果防火牆存在，能夠直接ipbables -F清空全部規則，若不想清空全部規則能夠增長443端口的規則 iptables -I INPUT -p tcp --dport 443 -j ACCEPTlinux
這時再來訪問yongge.com，會提示是否信任證書，選擇是，會訪問成功