Nginx负载均衡、SSL原理、生成SSL密钥对、Nginx配置SSL
6月12日任务
12.17 Nginx负载均衡
12.18 ssl原理
12.19 生成ssl密钥对
12.20 Nginx配置ssl
扩展
针对请求的uri来代理 http://ask.apelearn.com/question/1049
根据访问的目录来区分后端的web http://ask.apelearn.com/question/920
nginx长连接 http://www.apelearn.com/bbs/thread-6545-1-1.html
nginx算法分析 http://blog.sina.com.cn/s/blog_72995dcc01016msi.html
12.17 Nginx负载均衡
通过学习了Nginx代理,那么当只有一台机器的时候可以说是代理,如果有多台机器的时候,那就不能够单靠代理了,需要设置负载均衡。
比如有5个用户访问web服务器,如果其中一个服务器挂了,那么用户1不会再去请求web服务器1,而是自动分配其他的web服务器提供服务,这样就叫负载均衡。
操作步骤:
在正式操作之前可以使用dig命令解析网站域名对应的IP地址,如果没有安装,需要先使用 yum install -y bind-utils 安装dig命令。
设置负载均衡操作步骤:
1、新建ld.conf配置文件
[root@jimmylinux-001 vhost]# vim ld.conf
加入以下内容
upstream qq
{
ip_hash;
server 180.163.26.39:80;
server 58.60.9.21:80;
server 59.37.96.63:80;
}
server
{
listen 80;
server_name www.qq.com;
location /
{
proxy_pass http://qq;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
2、直接使用curl访问测试
重新-s加载配置文件,然后在curl访问www.qq.com就可以访问到真正的QQ主页了
[root@jimmylinux-001 vhost]# /usr/local/nginx/sbin/nginx -s reload
[root@jimmylinux-001 vhost]# curl -x127.0.0.1:80 www.qq.com
以上操作就是Nginx的负载均衡,另外一个知识点:Nginx代理或负载均衡不支持去代理HTTPS,也就是server后面端口不可以写成443。
12.18 ssl原理
12.19 生成ssl密钥对
1、进入指定目录并生成私钥文件
[root@jimmylinux-001 ~]# cd /usr/local/nginx/conf
[root@jimmylinux-001 conf]# openssl genrsa -des3 -out tmp.key 2048
Generating RSA private key, 2048 bit long modulus
..............................................+++
...............................+++
e is 65537 (0x10001)
Enter pass phrase for tmp.key: 输入密码abcd1234
Verifying - Enter pass phrase for tmp.key: 再次确认密码
2、转换key,取消密码。
[root@jimmylinux-001 conf]# openssl rsa -in tmp.key -out jimmy.key
Enter pass phrase for tmp.key:
writing RSA key
3、删除tmp.key文件
[root@jimmylinux-001 conf]# rm -f tmp.key
4、生成证书请求文件,目的是为了和私钥一起生成公钥文件。
[root@jimmylinux-001 conf]# openssl req -new -key jimmy.key -out jimmy.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:China
string is too long, it needs to be less than 2 bytes long
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:ShenZhen
Locality Name (eg, city) [Default City]:ShenZhen
Organization Name (eg, company) [Default Company Ltd]:jimmy
Organizational Unit Name (eg, section) []:jimmy
Common Name (eg, your name or your server's hostname) []:jimmylinux
Email Address []:joan2008.lms@gmail.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:abcd1234
An optional company name []:jimmy
5、用生成的证书请求文件jimmy.csr和之前的jimmy.key私钥文件一起生成公钥文件
[root@jimmylinux-001 conf]# openssl x509 -req -days 365 -in jimmy.csr -signkey jimmy.key -out jimmy.crt
这里的jimmy.key是私钥文件,jimmy.crt是公钥文件。
12.20 Nginx配置ssl
已经有公钥和私钥,那么就可以配置Nginx的SSL了。
1、进入指定目录、然后新建一个配置文件。
[root@jimmylinux-001 vhost]# vim ssl.conf 新建配置文件
添加以下内容
server
{
listen 443; 监听端口
server_name jimmy.com;
index index.html index.php;
root /data/wwwroot/jimmy.com;
ssl on; 开启SSL支持HTTPS
ssl_certificate jimmy.crt; 指定公钥
ssl_certificate_key jimmy.key; 指定私钥
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; SSL协议
}
2、-t检查配置文件的语法是否正确,如果出现以下报错,因为最早编辑Nginx的时候并没有指定支持SSL,这里需要重新编译nginx,加上--with-http_ssl_module
重新配置完以后,执行make和make install
[root@jimmylinux-001 nginx-1.12.1]# make
[root@jimmylinux-001 nginx-1.12.1]# make install
3、刚才编译完以后就会多一个支持HTTPS的SSL,重新-t检查配置文件语法也没有问题了。
重启Nginx并检查监听端口
[root@jimmylinux-001 nginx-1.12.1]# /etc/init.d/nginx restart 重启Nginx
Restarting nginx (via systemctl): [ 确定 ]
[root@jimmylinux-001 nginx-1.12.1]# netstat -lntp 检查监听端口
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 4020/nginx: master
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 934/sshd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1305/master
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 4020/nginx: master 多一个443的端口
tcp 0 0 127.0.0.1:9000 0.0.0.0:* LISTEN 1310/php-fpm: maste
tcp6 0 0 :::22 :::* LISTEN 934/sshd
tcp6 0 0 ::1:25 :::* LISTEN 1305/master
tcp6 0 0 :::3306 :::* LISTEN 1286/mysqld
4、进入指定目录,然后创建一个测试文件。
[root@jimmylinux-001 nginx-1.12.1]# cd /data/wwwroot/jimmy.com/
[root@jimmylinux-001 jimmy.com]# ls
[root@jimmylinux-001 jimmy.com]# vim 1.txt 新建测试文件
添加以下内容
This is SSL test page.
[root@jimmylinux-001 jimmy.com]# mv 1.txt index.html 重新更名成index.html文件
5、测试访问
[root@jimmylinux-001 jimmy.com]# curl -x127.0.0.1:443 https://jimmy.com/ 如果直接使用curl方式访问,就会报400的错误状态码。
curl: (56) Received HTTP code 400 from proxy after CONNECT
需要修改hosts文件,然后再访问才可以。
可以编辑Windows的hosts文件,通过浏览器访问。
如果浏览器打开很慢无法访问,那么就要检查下防火墙了。
[root@jimmylinux-001 jimmy.com]# iptables -nvL 检查如果有防火墙
[root@jimmylinux-001 jimmy.com]# iptables -F 可以直接-F
刷新浏览器就可以访问了,如果不被浏览器认可的证书或者不合法的证书,https都会出现红色的显示。
想要有合法认可颁发的证书,可以到这个网站进行购买。