Nginx負載均衡
當用戶訪問nginx定制好的域名時���,nginx通過轉發到幾臺真實的站點���,通過upstream實現
[root@centos7 vhost]# vim /usr/local/nginx/conf/vhost/load.confupstream www.tt.com#自定義域名{# ip_ash; #保證同一個用戶始終保持在同一臺機器上,即當域名指向多個IP時�,保證每個用戶始終解析到同一IP server 192.168.3.74:80; server 192.168.3.83:80; #指定web服務器的IP}server{ listen 80; server_name www.tt.com; location / { proxy_pass http://tt.com; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; }}ssl原理
SSL(Secure Sockets Layer 安全套接層)協議,及其繼任者TLS(Transport Layer Security傳輸層安全)協議,是為網絡通信提供安全及數據完整性的一種安全協議�。
瀏覽器發送一個https的請求給服務器��;
服務器要有一套數字證書,可以自己制作���,也可以向組織申請,區別就是自己頒發的證書需要客戶端驗證通過���,才可以繼續訪問�����,而使用受信任的公司申請的證書則不會彈出>提示頁面��,這套證書其實就是一對公鑰和私鑰;
服務器會把公鑰傳輸給客戶端��;
客戶端(瀏覽器)收到公鑰后�����,會驗證其是否合法有效����,無效會有警告提醒�����,有效則會生成一串隨機數���,并用收到的公鑰加密�����;
客戶端把加密后的隨機字符串傳輸給服務器;
服務器收到加密隨機字符串后����,先用私鑰解密(公鑰加密����,私鑰解密)��,獲取到這一串隨機數后,再用這串隨機字符串加密傳輸的數據(該加密為對稱加密��,所謂對稱加密����,就是將數據和私鑰也就是這個隨機字符串>通過某種算法混合在一起,這樣除非知道私鑰�����,否則無法獲取數據內容)�;
服務器把加密后的數據傳輸給客戶端;
客戶端收到數據后��,再用自己的私鑰也就是那個隨機字符串解密��;
頒發的 證書必須得瀏覽器廠商認可的�����。
生成ssl密鑰對
首先對讓nginx支持ssl模塊
1��、
[root@centos7 nginx-1.12.1]# cd /data/package/nginx-1.12.1
2、
[root@centos7 nginx-1.12.1]# ./configure --prefix=/usr/local/nginx --with-http_ssl_module
3�、
make
4��、
make install
正式操作:
1、
[root@centos7 vhost]# cd /usr/local/nginx/conf/
2�����、輸入密碼
[root@centos7 conf]# openssl genrsa -des3 -out tmp.key 2048
3��、轉換key�����,取消密碼:
[root@centos7 conf]# openssl rsa -in tmp.key -out testssl.key Enter pass phrase for tmp.key: 輸入第2步的密碼
4��、刪除密鑰文件:
[root@centos7 conf]# rm -f tmp.key
5�����、生成證書請求文件
需要拿這個文件和私鑰一起生產公鑰文件:
[root@centos7 conf]# openssl req -new -key testssl.key -out testssl.csrCountry Name (2 letter code) [XX]:CNState or Province Name (full name) []:GDLocality Name (eg, city) [Default City]:GZOrganization Name (eg, company) [Default Company Ltd]:FCOrganizational Unit Name (eg, section) []:FCCommon Name (eg, your name or your server's hostname) []:testsslEmail Address []:admin@admin.comPlease enter the following 'extra' attributesto be sent with your certificate requestA challenge password []:123456An optional company name []:123456
