12.17 Nginx負載均衡 12.18 ssl原理 12.19 生成ssl密鑰對 12.20 Nginx配置ssl
[root@lizhipenglinux01 vhost]# vi ld.conf
upstream qq
{
ip_hash; //保證同一個用戶始終在同一個機器上
server 61.135.157.156:80;
server 125.39.240.113:80;
}
server
{
listen 80;
server_name www.qq.com;
location /
{
proxy_pass http://qq; //upstream的名字
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
[root@lizhipenglinux01 vhost]# curl -x127.0.0.1:80 www.qq.com 正常情況下回訪問默認虛擬主機的返回頁
This is the default site.
重新加載服務後再訪問,會顯示源碼頁
通信過程:
1.瀏覽器發送一個HTTPS請求給服務器
2.服務器要有一套數字證書,這套證書其實就是一對公鑰和私鑰
3.服務器會把公鑰傳輸給客戶端
4.客戶端(瀏覽器)收到公鑰後,會驗證其是否合法有效,無效會有警告提醒,有效則會生成一串隨機字符串,並用收到的公鑰加密
5.客戶端把加密後的隨機字符串傳輸給服務器。
6.服務器收到加密隨機字符串後,先用私鑰解密(公鑰加密,私鑰解密),獲取到這一串隨機字符串後,再用這串隨機字符串加密傳輸的數據(該加密為“對稱加密”;所謂對稱加密,就是將數據和私鑰,也就是這個隨機字符串通過某種算法混合在一起,這樣除非知道私鑰,否則無法獲取數據內容)。
7.服務器把加密後的數據傳輸給客戶端。
8.客戶端收到數據後,再用自己的私鑰(也就是那個隨機字符串)解密。
查找安裝所需要的包
[root@lizhipenglinux01 conf]# openssl rsa -in tmp.key -out aminglinux.key 轉化key,取消密碼
Enter pass phrase for tmp.key:
writing RSA key
[root@lizhipenglinux01 conf]# openssl req -new -key aminglinux.key -out aminglinux.csr 生成證書請求文件,需要拿這個文件和私鑰一起生產公鑰文件
[root@lizhipenglinux01 conf]# openssl x509 -req -days 365 -in aminglinux.csr -signkey aminglinux.key -out aminglinux.crt 這個aminglinux.crt是公鑰
[root@lizhipenglinux01 vhost]# vim ssl.conf
server
{
listen 443;
server_name aming.com;
index index.html index.php;
root /data/wwwroot/aming.com;
ssl on;
ssl_certificate aminglinux.crt;
ssl_certificate_key aminglinux.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
}
保存配置文件後,檢查配置是否有問題,確實存在,當前的Nginx並不支持SSL,因為先前的Nginx編譯時,並沒有額外配置支持SSL的參數,要解決該問題只能重新編譯一遍Nginx。
[root@lizhipenglinux01 vhost]# cd /usr/local/src/nginx-1.12.1/
[root@lizhipenglinux01 nginx-1.12.1]# ./configure --prefix=/usr/local/nginx --with-http_ssl_module
[root@lizhipenglinux01 nginx-1.12.1]# make
[root@lizhipenglinux01 nginx-1.12.1]# make install
再次檢查配置文件,沒有問題
多了一個參數
重啟服務,查看監聽端口,發現有443端口
然後創建對應的目錄和測試文件:
[root@lizhipenglinux01 nginx-1.12.1]# mkdir /data/wwwroot/aming.com
[root@lizhipenglinux01 nginx-1.12.1]# echo "1111" > /data/wwwroot/aming.com/index.html
[root@lizhipenglinux01 nginx-1.12.1]# curl -x127.0.0.1:443 https://aming.com/ 無法訪問。寫hosts
curl: (56) Received HTTP code 400 from proxy after CONNECT
證書沒有得到瀏覽器的認可
12.17 Nginx負載均衡 12.18 ssl原理 12.19 生成ssl密鑰對 12.20 Nginx配置ssl