Nginx服务器负载均衡及ssl原理、生成ssl密钥对、Nginx配置ssl操作示例

 更新时间:2018年05月10日 21:35:38   作者:jiekegz  
这篇文章通过大量的实例总结了nginx服务器上负载均衡的概念、配置、ssl原理、密钥对生成以及nginx服务器上配置ssl的相关操作实现方法
(福利推荐:【腾讯云】服务器最新限时优惠活动,云服务器1核2G仅99元/年、2核4G仅768元/3年,立即抢购>>>:9i0i.cn/qcloud

(福利推荐:你还在原价购买阿里云服务器?现在阿里云0.8折限时抢购活动来啦!4核8G企业云服务器仅2998元/3年,立即抢购>>>:9i0i.cn/aliyun

Nginx负载均衡

当用户访问nginx定制好的域名时,nginx通过转发到几台真实的站点,通过upstream实现

[root@centos7 vhost]# vim /usr/local/nginx/conf/vhost/load.conf

upstream www.tt.com
#自定义域名
{
#  ip_ash;
  #保证同一个用户始终保持在同一台机器上,即当域名指向多个IP时,保证每个用户始终解析到同一IP
  server 192.168.3.74:80;
  server 192.168.3.83:80;
  #指定web服务器的IP
}
server
{
  listen 80;
  server_name www.tt.com;
  location /
  {
    proxy_pass   http://tt.com;
    proxy_set_header Host  $host;
    proxy_set_header X-Real-IP   $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  }
}

ssl原理

SSL(Secure Sockets Layer 安全套接层)协议,及其继任者TLS(Transport Layer Security传输层安全)协议,是为网络通信提供安全及数据完整性的一种安全协议。

 

浏览器发送一个https的请求给服务器;

服务器要有一套数字证书,可以自己制作,也可以向组织申请,区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹出>提示页面,这套证书其实就是一对公钥和私钥;

服务器会把公钥传输给客户端;

客户端(浏览器)收到公钥后,会验证其是否合法有效,无效会有警告提醒,有效则会生成一串随机数,并用收到的公钥加密;

客户端把加密后的随机字符串传输给服务器;

服务器收到加密随机字符串后,先用私钥解密(公钥加密,私钥解密),获取到这一串随机数后,再用这串随机字符串加密传输的数据(该加密为对称加密,所谓对称加密,就是将数据和私钥也就是这个随机字符串>通过某种算法混合在一起,这样除非知道私钥,否则无法获取数据内容);

服务器把加密后的数据传输给客户端;

客户端收到数据后,再用自己的私钥也就是那个随机字符串解密;

颁发的 证书必须得浏览器厂商认可的。

生成ssl密钥对

首先对让nginx支持ssl模块

1、

[root@centos7 nginx-1.12.1]# cd /data/package/nginx-1.12.1

2、

[root@centos7 nginx-1.12.1]# ./configure --prefix=/usr/local/nginx --with-http_ssl_module 

3、

make

4、

make install

正式操作:

1、

[root@centos7 vhost]# cd /usr/local/nginx/conf/

2、输入密码

[root@centos7 conf]# openssl genrsa -des3 -out tmp.key 2048

3、转换key,取消密码:

[root@centos7 conf]# openssl rsa -in tmp.key -out testssl.key 
Enter pass phrase for tmp.key: 输入第2步的密码

4、删除密钥文件:

[root@centos7 conf]# rm -f tmp.key

5、生成证书请求文件

需要拿这个文件和私钥一起生产公钥文件:

[root@centos7 conf]# openssl req -new -key testssl.key -out testssl.csr

Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:GD
Locality Name (eg, city) [Default City]:GZ
Organization Name (eg, company) [Default Company Ltd]:FC
Organizational Unit Name (eg, section) []:FC
Common Name (eg, your name or your server's hostname) []:testssl
Email Address []:admin@admin.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:123456
An optional company name []:123456

6、

[root@centos7 conf]# ls testssl.*
testssl.csr testssl.key

7、创建公钥

[root@centos7 conf]# openssl x509 -req -days 365 -in testssl.csr -signkey testssl.key -out testssl.crt
Signature ok
subject=/C=CN/ST=GD/L=GZ/O=FC/OU=FC/CN=testssl/emailAddress=admin@admin.com
Getting Private key
You have new mail in /var/spool/mail/root
[root@centos7 conf]# ls testssl.*
testssl.crt testssl.csr testssl.key

8、nginx配置ssl

[root@centos7 vhost]# vi ssl.conf 
server
{
  listen 443;
  server_name testssl.com;
  index index.html index.php;
  root /data/wwwroot/ssl.com;
  ssl on;
  #开启ssl
  ssl_certificate testssl.crt;
  #配置公钥
  ssl_certificate_key testssl.key;
  #配置私钥
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  #配置协议
}

9、

[root@centos7 vhost]# /etc/init.d/nginx restart

10、

[root@centos7 vhost]# netstat -nutlp| grep 443
tcp    0   0 0.0.0.0:443       0.0.0.0:*        LISTEN   7703/nginx: master

验证:

由于自己申请的sll没有得到浏览器的认可,所以被标识为不安全。可以访问

 

另外,关于阿里云的负载均衡配置可参考其官方说明文档:https://help.aliyun.com/document_detail/27552.html

相关文章

  • 使用GIT进行源码管理——GUI客户端小结

    使用GIT进行源码管理——GUI客户端小结

    很多人对GIT GUI客户端是非常不屑一顾的,但我非常喜欢GUI的方便快捷,也不用记忆冗杂的命令,本文简单的介绍了几种免费的Windows下的GIT客户端,方便大家使用
    2014-09-09
  • imail8.22安装激活实例[图文]

    imail8.22安装激活实例[图文]

    今天制作此实例的目的是因为前几天我提供了IMAIL8.22中文模板和算号器,这几天问我怎么注册的人还挺多,一句话又讲不清,不讲吧,又觉得对不起朋友们,所以花了点时间,做了此实例,方便朋友们使用,高手就不用看了
    2011-09-09
  • Redis和Memcache对比与如何选择

    Redis和Memcache对比与如何选择

    我这段时间在用redis,感觉挺方便的,但比较疑惑在选择内存数据库的时候到底什么时候选择redis,什么时候选择memcache,然后就查到下面对应的资料,是来自redis作者的说法(stackoverflow上面)
    2020-07-07
  • 宝塔通过composer安装TP依赖的详细教程(宝塔服务器)

    宝塔通过composer安装TP依赖的详细教程(宝塔服务器)

    这篇文章主要介绍了宝塔通过composer安装TP依赖的详细教程(宝塔服务器),本文给大家分享问题原因分析及解决方案,需要的朋友可以参考下
    2023-06-06
  • 构建及部署jenkins?pipeline实现持续集成持续交付脚本

    构建及部署jenkins?pipeline实现持续集成持续交付脚本

    这篇文章主要为大家介绍了构建及部署jenkins?pipeline实现持续集成持续交付脚本,哟需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步
    2022-03-03
  • 服务器安装什么系统好 服务器系统详细介绍与选择推荐

    服务器安装什么系统好 服务器系统详细介绍与选择推荐

    有时候我们购买了服务器或云主机,服务器对于操作系统的选择就是一个问题,当然肯定选择一个你懂的能把安全做的差不多的,要不就找相关的技术人员帮你配置与推荐
    2017-08-08
  • 网站压力测试工具-ab工具apache?bench使用过程

    网站压力测试工具-ab工具apache?bench使用过程

    apache?bench是apache自带的压力测试工具。ab不仅可以对apache服务器进行网站访问压力测试,也可以对或其它类型的服务器进行压力测试。ab工具上手学习较快,可以提供需要的基本性能指标,但没有图形化结果,不能监控。因此可以用作临时紧急任务和简单测试。
    2022-11-11
  • 服务器断电导致虚拟机数据丢失的恢复方法详解

    服务器断电导致虚拟机数据丢失的恢复方法详解

    这篇文章主要介绍了服务器断电导致虚拟机数据丢失的恢复方法,较为详细的分析了服务器断电导致的数据丢失情况与相应的故障处理技巧,需要的朋友可以参考下
    2018-01-01
  • win2003或linux服务器一般多久重启一次

    win2003或linux服务器一般多久重启一次

    得根据服务器的负载量来确定,数据量大的话,每次启动时间间隔就需要短些,反之就可以长一些.如果机器维护的比较好,启动时间间隔也可以延长些,只要客户访问速度不慢就好
    2012-03-03
  • DNSlog外带原理及注入分析(最新推荐)

    DNSlog外带原理及注入分析(最新推荐)

    DNS的全称是Domain?Name?System(网络名称系统),它作为将域名和IP地址相互映射,使人更方便地访问互联网,最近一直听到DNSlog外带原理等词但对其原理一直只是自己的理解(回显DNS请求后的日志)并没有真正的了解过,所以这里做一下记录,感兴趣的朋友一起看看吧
    2024-01-01

最新评论

?


http://www.vxiaotou.com