SSL证书卸载与SSI高级应用
http://netkiller.github.io/journal/ssi.html
Mr. Neo Chen (netkiller), 陈景峰(BG7NYT)
中国广东省深圳市龙华新区民治街道溪山美地
518131
+86 13113668890
+86 755 29812080
<[email protected]>
版权 © 2014 http://netkiller.github.io
版权声明
转载请与作者联系,转载时请务必标明文章原始出处和作者信息及本声明。
|
|
2014-09-17
摘要
我的系列文档
目录
1. 什么是SSI(Server Side Include)
SSI是服务器端页面包含,SSI工作在web服务器上,web服务器可以在一个页面中包含另一个页面,在用户端看来是只有一个页面。
2. 为什么使用SSI
我们又很多个子站,所有网站的header与footer都相同,还有一些block区块也存在共用。所以我们将这个共用的部分拆分,然后使用SSI按需包含。
3. 谁来负责SSI制作
稍有经验的美工人员都可以灵活使用SSI,程序员也可在短时间内学会SSI.
4. 怎么处理SSI包含
4.1. SSI 目录规划
/www/example.com |-- inc.example.com |-- www.example.com |-- images.example.com |-- acc.example.com
inc.example.com 是SSI共用文件,存放shtml文件。
www.example.com 是主站,会用到inc.example.com中的公共模块。
acc.example.com 与 www.example.com 类似。
注意
/www/inc.example.com是公共目录,不需要配置nginx,不能通过浏览器访问到该目录.
为什么要独立公共文件,而不是放在/www/www.example.com目录下面呢?我是为了方便发布代码,分开的好处是我可以针对inc.example.com做发布,而不影响其他项目。
由于include作用于web服务器的$document_root目录,例如当前$document_root是/www/example.com/www.example.com <!--#include file="/example.shtml"--> 会引用 /www/example.com/www.example.com/example.shtml 文件,而不是操作系统根目录。
所以我们无法引用与www.example.com同级别的inc.example.com公共文件。例如:
<!--#include file="/www/example.com/inc.example.com/example.shtml"--> 会引用 /www/example.com/www.example.com/www/example.com/inc.example.com/example.shtml 文件,而不是操作系统根目录。 <!--#include file="../inc.example.com/example.shtml"--> 会引用 也无法正常工作。
这是服务器限制,如果SSI可能包含$document_root之外的文件,将会带来安全问题,例如
<!--#include file="/etc/passwd"-->
怎样能突破限制呢?我想出了别名,通过别名/include引用/www/example.com/inc.example.com目录中的公文模块,例如:
location /include/ {
root /www/example.com/inc.example.com;
}
提示
Apache 与 Nginx 服务器的 SSI 实现稍有不同include file与include virtual也有差异。
4.2. www.example.com 静态内容服务器
# cat /etc/nginx/conf.d/www.example.com.conf
server {
listen 80;
server_name www.example.com;
charset utf-8;
access_log /var/log/nginx/www.example.com.access.log;
error_log /var/log/nginx/www.example.com.error.log;
location / {
root /www/example.com/www.example.com;
index index.html;
}
location /include/ {
root /www/example.com/inc.example.com;
}
location /info/ {
proxy_pass http://info.example.com/;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /usr/share/nginx/html;
}
}
4.3. acc.example.com 动态网页服务器
server {
listen 80;
server_name acc.example.com;
charset utf-8;
access_log /var/log/nginx/acc.example.com.access.log;
error_log /var/log/nginx/acc.example.com.error.log;
set $X_FORWARDED_FOR $http_x_forwarded_for;
location / {
root /www/example.com/acc.example.com/htdocs;
index index.php;
try_files $uri $uri/ /index.php?/$request_uri;
}
location /include/ {
root /www/example.com/inc.example.com;
}
location ^~ /images/ {
rewrite /images/(.+)$ /$1 break;
proxy_pass http://images.example.com;
break;
}
location ~ \.php$ {
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /www/example.com/acc.example.com/htdocs/$fastcgi_script_name;
include fastcgi_params;
fastcgi_param DOCUMENT_ROOT /www/example.com/acc.example.com/htdocs;
}
}
注意
该服务器不对外提供服务器,只允许下面的SSL卸载服务器通过反向代理连接
4.4. SSL卸载服务器
将SSL证书处理,机密与解密操作转移到该服务器,不让业务服务器处理证书的加密与解密操作,上面的HTTP对内访问,HTTPS对外访问,HTTPS通过反向代理连接HTTP服务器实现SSL证书卸载
upstream acc.example.com {
server acc1.example.com;
server acc2.example.com;
server acc3.example.com;
}
server {
listen 443;
server_name acc.example.com;
ssl on;
ssl_certificate /etc/nginx/example.com/acc.example.com.pem;
ssl_certificate_key /etc/nginx/example.com/acc.example.com.key;
ssl_session_timeout 5m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
proxy_pass http://acc.example.com;
proxy_http_version 1.1;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
break;
}
}
4.5. /www/inc.example.com 公共包含文件
/www/inc.example.com/include/cn/config.html
<!--#set var="HTML_HOST" value="http://www.example.com"-->
<!--#set var="INFO_HOST" value="http://info.example.com"-->
<!--#set var="NEWS_HOST" value="http://news.example.com"-->
<!--#set var="IMG_HOST" value="http://images.example.com"-->
<!--#set var="JS_HOST" value="http://images.example.com"-->
<!--#set var="CSS_HOST" value="http://images.example.com"-->
<!--#if expr="${X_FORWARDED_FOR}"-->
<!--#set var="ACC_HOST" value="https://myid.example.com"-->
<!--#set var="IMG_HOST" value="/images"-->
<!--#set var="JS_HOST" value="/images"-->
<!--#set var="CSS_HOST" value="/images"-->
<!--#else -->
<!--#set var="ACC_HOST" value="http://myid.example.com"-->
<!--#set var="IMG_HOST" value="http://images.example.com"-->
<!--#set var="JS_HOST" value="http://images.example.com"-->
<!--#set var="CSS_HOST" value="http://images.example.com"-->
<!--#endif -->
${X_FORWARDED_FOR} 用来判断用户是通过http还是https进入,由于images.example.com 没有SSL证书,需要有区分的载入图片的地址。/images 通过反向代理连接http://images.exampe.com.
4.6. 引用包含文件实例
<!--#include file="/include/cn/config.html"--> <!DOCTYPE> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <title></title> <link rel="shortcut icon" href="<!--#echo var="IMG_HOST"-->/favicon.ico" type="image/x-icon" /> <link rel="stylesheet" href="<!--#echo var="CSS_HOST"-->/styles/common.css" /> <script type="text/javascript" src="<!--#echo var="JS_HOST"-->/scripts/jquery-1.7.1.min.js"></script> </head> <body> <div id="homeNav"><!--#include virtual="/include/cn/header.html" --></div> <a href="<!--#echo var=‘ACC_HOST‘-->/register/" class="real"> <h3><img src="<!--#echo var="IMG_HOST"-->/new/ico_real.png" />注册账户</h3> </a> </body> </html>