nginx ssL +tomcat实现https

简介:

参考

http://ntxjxp.blog.51cto.com/11279216/1766579

http://www.cnblogs.com/bass6/p/6228902.html

http://szcto.blog.51cto.com/2463527/1891867

原理

X-Forwarded-Proto 就是为了正确地识别实际服务发出的协议是 http 还是 https,就比如上图表示的就是本地所有的服务发出的协议都是https,那么接下来的

思路也很明确,就是tomcat上的服务也接受https

在生产环境中,可以能有特殊的情况,如要保持原有端口生效的情况下,并443端口生效。我公司开始用的 haproxy做反向代理,后来用nginx 配https,便 443端口生效。也就是同时开启原有的haproxy使原有的端口生效,ngix配的https的443端口同时也生效。也就是不同的端口代理到后端相同的端口。这样就能兼容原有端口的同时,也兼容了443端口。


配置

nginx的配置文件

wKiom1cZiOWCFsZyAABc9HD2kos555.png

1
<span style = "font-size:18px;" >server {<br>listen  443 ; server_name localhost;<br>ssl on;<br>root html;<br>index index.html index.htm;<br>ssl_certificate   磁盘目录 / 订单号.pem;<br>ssl_certificate_key  磁盘目录 / 订单号.key;<br>ssl_session_timeout  5m ;<br>ssl_protocols TLSv1 TLSv1. 1  TLSv1. 2 ;<br>ssl_ciphers AESGCM: ALL :!DH:!EXPORT:!RC4: + HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;<br>ssl_prefer_server_ciphers on;<br>location  /  {<br>root html;<br>index index.html index.htm;<br>}<br>}<br><br>< / span>

tomcat的server.xml配置

wKioL1cZifaCVQGiAABkOizynNQ298.png


proxyPort代理端口配置443,是接受来自(1)里发来的https前提,当然如果某同学涉及到redis的话,也需要将redistport改成443,道理一样。接下来就是

Valve模块,此模块只能存在一个,想当初我配了2个,这都是泪啊,此处为标准安全策略配置,格外注意portocolHeader的值,你比对比对就知道什么意思了


nginx+tomcat配置完成。


apache 配置文档

安装证书
( 1 ) 打开 apache 安装目录下 conf 目录中的 httpd.conf 文件,找到

#LoadModule ssl_module modules/mod_ssl.so (如果找不到请确认是否编译过 openssl 插件)
#Include conf/extra/httpd_ssl.conf

( 2 ) 打开 apache 安装目录下 conf/extra 目录中的 httpd-ssl.conf 文件 ( 注释:yum 安装配置目录:conf.d/ssl.confubuntu/apache2 安装目录:conf/sites-enabled/*.conf ), 在配置文件中查找以下配置语句:

·添加 SSL 协议支持语句,关闭不安全的协议和加密套件
SSLProtocol all -SSLv2 -SSLv3
·修改加密套件如下
SSLCipherSuite AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;
·将服务器证书公钥配置到该路径下(在 conf 目录下创建 ssl 目录,将 for Apache 里面的三 个证书文件拷贝到 ssl 目录下)
SSLCertificateFile conf/ssl/public.pem (证书公钥)
·将服务器证书私钥配置到该路径下
SSLCertificateKeyFile conf/ssl/订单号.key (证书私钥)
·将服务器证书链配置到该路径下
SSLCertificateChainFile conf/ssl/chain.pem (证书链)删除行首的“#”号注释符

保存退出。
( 3 ) 重启 Apache。重启方式:进入 Apache 安装目录下的 bin 目录,运行如下命令 ./apachectl -k stop./apachectl -k start



tomcat配置文档


安装证书
Tomcat支持JKS格式证书,从Tomcat7开始也支持PFX格式证书,两种证书格式任选其一。下载包中包含PFX格式证书和密码文件。1、PFX证书安装

找到安装 Tomcat 目录下该文件server.xml,一般默认路径都是在 conf 文件夹中。找到 <Connection port="8443" 标签,增加如下属性:

keystoreFile="/你的磁盘目录/订单号.pfx"keystoreType="PKCS12"keystorePass="证书密码"完整的配置如下,其中port属性根据实际情况修改:<Connector port="8443" protocol="HTTP/1.1"
    maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
    keystoreFile="/你的磁盘目录/订单号.pfx"
    keystoreType="PKCS12"
    keystorePass="证书密码"
    sslEnabledProtocols="TLSv1"
    clientAuth="false" sslProtocol="TLS" />2、JKS证书安装
( 1 ) 使用java jdk将PFX格式证书转换为JKS格式证书(windows环境注意在%JAVA_HOME%/jdk/bin目录下执行)

keytool -importkeystore -srckeystore 订单号.pfx -destkeystore your-name.jks -srcstoretype PKCS12 -deststoretype JKS

回车后输入一次PFX证书密码,然后输入两次要设置的JKS证书密码,并牢记此证书密码。
( 2 ) 找到安装 Tomcat 目录下该文件Server.xml,一般默认路径都是在 conf 文件夹中。找到 <Connection port="8443" 标签,增加如下属性:

keystoreFile="/你的磁盘目录/your-name.jks"keystorePass="证书解压密码"完整的配置如下,其中port属性根据实际情况修改:<Connector port="8443" protocol="HTTP/1.1"
    maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
    keystoreFile="/你的磁盘目录/your-name.jks"
    keystorePass="证书解压密码"
    clientAuth="false" sslProtocol="TLS" />( 注意:不要直接拷贝所有配置,只需添加 keystoreFile,keystorePass,keystorePass等参数即可,其它参数请根据自己的实际情况修改 )


注意点

这时候,你就可以打开浏览器访问一下试试了。正常情况 HTTPS 请求是打不开的,因为我们还没设置防火墙,记得要开放443端口!,嗯,设置过防火墙就可以正常访问了吧。

其实到这里,这个服务器支持 HTTPS 请求流程已经结束了,但是你发现好多人在浏览器地址栏输入域名的时候都不输入http://https://的,因为浏览器会自动帮我们加上http://的,所以,这时候输入我们刚刚设置的域名其实还是没有走https://请求,那怎么让就是输入http://也走HTTPS呢?

很简单,Nginx 中这样配置就行啦!

server {    listen  80;    server_name  www.domain.com;    rewrite ^(.*)$  https://$host$1 permanent;
}

我们利用rewrite来做跳转。监听到80端口的 HTTP 请求后,就转发到 HTTPS ,当然还有好多处理方式。



本文转自 liqius 51CTO博客,原文链接:http://blog.51cto.com/szgb17/1946831,如需转载请自行联系原作者
相关文章
|
3月前
|
应用服务中间件 Linux 网络安全
如何在 CentOS 7 上为 Nginx 创建自签名 SSL 证书
如何在 CentOS 7 上为 Nginx 创建自签名 SSL 证书
193 1
|
12天前
|
安全 应用服务中间件 网络安全
49.3k star,本地 SSL 证书生成神器,轻松解决 HTTPS 配置痛点
mkcert是一款由Filippo Valsorda开发的免费开源工具,专为生成受信任的本地SSL/TLS证书而设计。它通过简单的命令自动生成并安装本地信任的证书,使本地环境中的HTTPS配置变得轻松无比。mkcert支持多个操作系统,已获得49.2K的GitHub Star,成为开发者首选的本地SSL工具。
|
15天前
|
Web App开发 算法 应用服务中间件
nginx开启局域网https访问
【10月更文挑战第22天】为了调试WebRTC功能,需要在局域网内搭建HTTPS协议。具体步骤包括:在已部署Nginx和安装OpenSSL的环境中生成私钥、证书签名请求和自签名证书;将生成的文件放置到Nginx的证书目录并修改Nginx配置文件,最后重启Nginx服务。注意,自签名证书不受第三方机构认可,如需正式使用,需向CA申请签名。
|
16天前
|
存储 网络安全
Curl error (60): SSL peer certificate or SSH remote key was not OK for https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/base/x86_64/repodata/repomd.xml [SSL: no alternative certificate subject name matches target host name 'update.cs2c.com.cn']
【10月更文挑战第30天】在尝试从麒麟软件仓库(ks10-adv-os)下载元数据时,遇到 SSL 证书验证问题。错误提示为:`Curl error (60): SSL peer certificate or SSH remote key was not OK`。可能原因包括证书不被信任、证书与域名不匹配或网络问题。解决方法包括检查网络连接、导入 SSL 证书、禁用 SSL 证书验证(不推荐)、联系仓库管理员、检查系统时间和尝试其他镜像。
46 1
|
1月前
|
安全 应用服务中间件 Shell
nginx配置https的ssl证书和域名
nginx配置https的ssl证书和域名
|
5月前
|
Ubuntu 前端开发 JavaScript
技术笔记:Ubuntu:一个部署好的tomcat应用(war包)怎么用Nginx实现动静分离?
技术笔记:Ubuntu:一个部署好的tomcat应用(war包)怎么用Nginx实现动静分离?
|
1月前
|
Docker 容器
docker nginx-proxy 添加自定义https网站
docker nginx-proxy 添加自定义https网站
39 4
|
1月前
|
应用服务中间件 网络安全 nginx
nginx如何代理ssl
nginx如何代理ssl
|
3月前
|
jenkins 应用服务中间件 持续交付
如何配置 Nginx 作为 Jenkins 的反向代理并启用 SSL 加密
如何配置 Nginx 作为 Jenkins 的反向代理并启用 SSL 加密
201 8
|
3月前
|
前端开发 Java 应用服务中间件
在Linux中,tomcat和nginx的区别是什么?
在Linux中,tomcat和nginx的区别是什么?