lvs 持久连接 80 和443 端口iptables mangle
一、建立私有CA,并给服务器签发:在确定配置为CA的服务器上生成一个自签证书,并为CA提供所需要的目录及文件即可;步骤:(1) 生成私钥;]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)注意:文件名要与配置文件中的文件名一致;]# ll /etc/pki/CA/private/:查看文件权限确保为600;(2) 生成自签证书;]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655-new:生成新证书签署请求;-x509:生成自签格式证书,专用于创建私有CA时;-key:生成请求时用到的私有文件路径;-out:生成的请求文件路径;如果自签操作将直接生成签署过的证书;-days:证书的有效时长,单位是day;根据提示输入相关信息,完成即可;
提示输入:Country Name (2 letter code) :CN提示输入:State or Province Name (full name) []:Beijing提示输入:Locality Name (eg, city) :Beijing提示输入:Organization Name (eg, company) :MageEdu提示输入:Organizational Unit Name (eg, section) []:Ops提示输入:Common Name (eg, your name or your server's hostname) []:ca.magedu.com 如果是个人通信为自己的名字,如果是服务器为服务器主机名;提示输入:Email Address []:caadmin@magedu.com
]# ls /etc/pki/CA/查看要有certs crl newcerts这3个目录,如果没有要自行创建;
(3) 为CA提供所需的目录及文件;]# mkdir -pv /etc/pki/CA/{certs,crl,newcerts}]# touch /etc/pki/CA/{serial,index.txt}]# echo 01 > /etc/pki/CA/serial
在用到证书的服务器上操作:1.创建一个目录存放主机的私钥;2.生成私钥;3.生成证书签署请求4.将.csr文件请求通过可靠方式发送给CA主机;
步骤:(以httpd为例)(1) 用到证书的主机生成私钥;]# mkdir /etc/httpd/ssl ]# cd /etc/httpd/ssl]# (umask077; opensslgenrsa -out/etc/httpd/ssl/httpd.key2048)
(2) 生成证书签署请求]# openssl req -new -key /etc/httpd/ssl/httpd.key -out /etc/httpd/ssl/httpd.csr -days 365
根据提示输入相关信息,完成即可;
提示输入:Country Name (2 letter code) :CN提示输入:State or Province Name (full name) []:Beijing提示输入:Locality Name (eg, city) :Beijing 提示输入:Organization Name (eg, company) :MageEdu 提示输入:Organizational Unit Name (eg, section) []:Ops提示输入:Common Name (eg, your name or your server's hostname) []:www.magedu.com 此处一定要为客户端访问的地址;提示输入:Email Address []:webadmin@magedu.com提示输入:A challenge password []:可为空提示输入:An optional company name []:可为空
(3) 将请求通过可靠方式发送给CA主机;]# ls:生成一个httpd.csr文件,把此文件用可靠方式发送给CA主机;实际应用时,是CA公司来人到现场取走文件;实验环境,就是以scp命令,可实现两主机间复制文件;]# scp httpd.csr root@172.18.250.131:/tmp/表示在本地复制httpd.csr文件,以远程主机172.18.250.131的root用户身份拷贝此文件到远程主机的/tmp/目录下输入yes,确认连接,再输入远程主机root用户的登录密码,即可复制完成;就是实现了把httpd.csr文件拷贝的CA主机上;
(4) 在CA主机上签署证书;]# openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365显示提示:Sign the certificate? :y显示提示:1 out of 1 certificate requests certified, commit? y
把签署的证书httpd.crt发送给服务器主机:
在实验环境,还用scp两主机直接拷贝文件httpd.crt即可;]# scp certs/httpd.crt root@172.18.252.23:/etc/httpd/ssl/输入yes,确认连接,再输入远程主机root用户的登录密码,即可复制完成;
此时在服务器主机上的httpd.csr就没用了,可以删了;在CA主机上的签署前的httpd.csr也没用了,也可以删了;以上创建私有CA完成;
可在服务器主机或客户端主机上(只要有证书),都可查看证书;]# openssl x509 -in /etc/pki/CA/certs/httpd.crt -noout -serial -subject
二、nginx启用ssl
# vim /etc/nginx/conf.d/ssl.conf
server {
listen 443;
server_name_;
ssl on;
ssl_certificate /etc/httpd/ssl/httpd.crt;
ssl_certificate_key/etc/httpd/ssl/httpd.key;
ssl_session_timeout5m;
ssl_protocolsSSLv2 SSLv3 TLSv1;
ssl_ciphersALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;
location / {
root html;
indexindex.html index.htm;
}
}
测试两台web服务器80和443正常。
三、添加iptables mangle
查看:
# iptables -t mangle -nvL --line-number
修改:
# iptables -t mangle -RPREROUTING 2-d 192.168.1.212 -p tcp --dport 443 -j MARK --set-mark 10
添加:
# iptables -t mangle -A PREROUTING -d 192.168.1.212 -p tcp --dport 80 -j MARK --set-mark 10
# iptables -t mangle -A PREROUTING -d 192.168.1.212 -p tcp --dport 80 -j MARK --set-mark 10
# iptables -t mangle -L -n -v
# iptables -t mangle -A PREROUTING -d 192.168.1.212 -p tcp --dport 443 -j MARK --set-mark 10
配置ipvsadm
# ipvsadm -C
# ipvsadm -l -n
# ipvsadm -A -f 10 -s rr
# ipvsadm -a -f 10 -r 192.168.1.213-m -w 2
# ipvsadm -a -f 10 -r 192.168.1.214-m -w 2
#ipvsadm -E -f 10 -s rr -p
页:
[1]