LNMP架構（五）之Nginx負載均衡，ssl原理，生成ssl祕鑰對，配置ssl

Nginx負載均衡

vim /usr/local/nginx/conf/vhost/load.conf // 寫入以下內容
upstream qq_com    //qq_com爲自定義的名稱
{
    ip_hash;
    server 61.135.157.156:80;
    server 125.39.240.113:80;
}
server
{
    listen 80;
    server_name www.qq.com;
    location /
    {
        proxy_pass      http://qq_com;         //跟upsteam定義的名稱對應
        proxy_set_header Host   $host;
        proxy_set_header X-Real-IP      $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

upstream來指定多個web server， dig用來解析域名地址，需安裝yum install -y bind-utils

/usr/local/nginx/sbin/nginx -t
/usr/local/nginx/sbin/nginx -s reload

nginx還能夠代理tcp，不支持443代理

SSL原理

* 瀏覽器發送一個https的請求給服務器；
	* 服務器要有一套數字證書，能夠本身製做（後面的操做就是阿銘本身製做的證書），也能夠向組織申請，區別就是本身頒發的證書須要客戶端驗證經過，才能夠繼續訪問，而使用受信任的公司申請的證書則不會彈出>提示頁面，這套證書其實就是一對公鑰和私鑰；
	* 服務器會把公鑰傳輸給客戶端；
	* 客戶端（瀏覽器）收到公鑰後，會驗證其是否合法有效，無效會有警告提醒，有效則會生成一串隨機數，並用收到的公鑰加密；
	* 客戶端把加密後的隨機字符串傳輸給服務器；
	* 服務器收到加密隨機字符串後，先用私鑰解密（公鑰加密，私鑰解密），獲取到這一串隨機數後，再用這串隨機字符串加密傳輸的數據（該加密爲對稱加密，所謂對稱加密，就是將數據和私鑰也就是這個隨機字符串>經過某種算法混合在一塊兒，這樣除非知道私鑰，不然沒法獲取數據內容）；
	* 服務器把加密後的數據傳輸給客戶端；
	* 客戶端收到數據後，再用本身的私鑰也就是那個隨機字符串解密；

生成SSL祕鑰對

生成自簽名的證書即本身的SSL祕鑰對

cd /usr/local/nginx/conf
生成2048位的加密私鑰
openssl genrsa  -out tmp.key 2048//生成2048位的私鑰key文件。
//若是您須要對 tmp.key 添加保護密碼，請使用 -des3 擴展命令。Windows環境下不支持加密格式私鑰，Linux環境下使用加密格式私鑰時，每次重啓Apache都須要您輸入該私鑰密碼（例：openssl genrsa -des3 -out server.key 2048）。
//openssl rsa -in tmp.key -out aminglinux.key //轉換key，取消密碼，無加密可跳過該步驟
//rm -f tmp.key

生成證書籤名請求（CSR）

openssl req -new -key aminglinux.key -out aminglinux.csr//生成證書請求文件，須要拿這個文件和私鑰一塊兒生產公鑰文件。

生成類型爲X509的自簽名證書，有效期設置3650天

openssl x509 -req -days 365 -in aminglinux.csr -signkey aminglinux.key -out aminglinux.crt

這裏的aminglinux.crt爲公鑰

生成2048位的加密私鑰

這裏採用不添加密碼保護的方式

生成證書籤名請求（CSR）

openssl req -new -key server.key -out server.csr

若是是購買的這裏要填寫正確的信息。出售證書的公司：沃通

生成類型爲X509的自簽名證書，有效期設置3650天

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

Nginx配置ssl

vim /usr/local/nginx/conf/vhost/ssl.conf//加入以下內容
server
{
    listen 443;
    server_name aming.com;
    index index.html index.php;
    root /data/wwwroot/aming.com;
    ssl on;        //開啓ssl
    ssl_certificate aminglinux.crt; //指定私鑰
    ssl_certificate_key aminglinux.key;  //指定公鑰
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;    //指定它的協議
}
/usr/local/nginx/sbin/nginx  -t
/usr/local/nginx/sbin/nginx -s reload 
//若報錯unknown directive 「ssl」 ，須要從新編譯nginx，加上--with-http_ssl_module

切換到源碼安裝包，加上--with-http_ssl_module從新編譯
可用命令./configure    --help   | grep -i ssl 查詢這個模塊名稱
 
編譯，make &&  make install
./configure --prefix=/usr/local/nginx --with-http_ssl_module

/usr/local/nginx/sbin/nginx -t

/usr/local/nginx/sbin/nginx -s reload

mkdir /data/wwwroot/aming.com
echo 「ssl test page.」>/data/wwwroot/aming.com/index.html
編輯hosts，增長127.0.0.1 aming.com

curl https://aming.com/