nginx ssL +tomcat实现https

简介:
+关注继续查看

参考

http://ntxjxp.blog.51cto.com/11279216/1766579

http://www.cnblogs.com/bass6/p/6228902.html

http://szcto.blog.51cto.com/2463527/1891867

原理

X-Forwarded-Proto 就是为了正确地识别实际服务发出的协议是 http 还是 https,就比如上图表示的就是本地所有的服务发出的协议都是https,那么接下来的

思路也很明确,就是tomcat上的服务也接受https

在生产环境中,可以能有特殊的情况,如要保持原有端口生效的情况下,并443端口生效。我公司开始用的 haproxy做反向代理,后来用nginx 配https,便 443端口生效。也就是同时开启原有的haproxy使原有的端口生效,ngix配的https的443端口同时也生效。也就是不同的端口代理到后端相同的端口。这样就能兼容原有端口的同时,也兼容了443端口。


配置

nginx的配置文件

wKiom1cZiOWCFsZyAABc9HD2kos555.png

1
<span style="font-size:18px;">server {<br>listen 443; server_name localhost;<br>ssl on;<br>root html;<br>index index.html index.htm;<br>ssl_certificate   磁盘目录/订单号.pem;<br>ssl_certificate_key  磁盘目录/订单号.key;<br>ssl_session_timeout 5m;<br>ssl_protocols TLSv1 TLSv1.1 TLSv1.2;<br>ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;<br>ssl_prefer_server_ciphers on;<br>location / {<br>root html;<br>index index.html index.htm;<br>}<br>}<br><br></span>

tomcat的server.xml配置

wKioL1cZifaCVQGiAABkOizynNQ298.png


proxyPort代理端口配置443,是接受来自(1)里发来的https前提,当然如果某同学涉及到redis的话,也需要将redistport改成443,道理一样。接下来就是

Valve模块,此模块只能存在一个,想当初我配了2个,这都是泪啊,此处为标准安全策略配置,格外注意portocolHeader的值,你比对比对就知道什么意思了


nginx+tomcat配置完成。


apache 配置文档

安装证书
( 1 ) 打开 apache 安装目录下 conf 目录中的 httpd.conf 文件,找到

#LoadModule ssl_module modules/mod_ssl.so (如果找不到请确认是否编译过 openssl 插件)
#Include conf/extra/httpd_ssl.conf

( 2 ) 打开 apache 安装目录下 conf/extra 目录中的 httpd-ssl.conf 文件 ( 注释:yum 安装配置目录:conf.d/ssl.confubuntu/apache2 安装目录:conf/sites-enabled/*.conf ), 在配置文件中查找以下配置语句:

·添加 SSL 协议支持语句,关闭不安全的协议和加密套件
SSLProtocol all -SSLv2 -SSLv3
·修改加密套件如下
SSLCipherSuite AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;
·将服务器证书公钥配置到该路径下(在 conf 目录下创建 ssl 目录,将 for Apache 里面的三 个证书文件拷贝到 ssl 目录下)
SSLCertificateFile conf/ssl/public.pem (证书公钥)
·将服务器证书私钥配置到该路径下
SSLCertificateKeyFile conf/ssl/订单号.key (证书私钥)
·将服务器证书链配置到该路径下
SSLCertificateChainFile conf/ssl/chain.pem (证书链)删除行首的“#”号注释符

保存退出。
( 3 ) 重启 Apache。重启方式:进入 Apache 安装目录下的 bin 目录,运行如下命令 ./apachectl -k stop./apachectl -k start



tomcat配置文档


安装证书
Tomcat支持JKS格式证书,从Tomcat7开始也支持PFX格式证书,两种证书格式任选其一。下载包中包含PFX格式证书和密码文件。1、PFX证书安装

找到安装 Tomcat 目录下该文件server.xml,一般默认路径都是在 conf 文件夹中。找到 <Connection port="8443" 标签,增加如下属性:

keystoreFile="/你的磁盘目录/订单号.pfx"keystoreType="PKCS12"keystorePass="证书密码"完整的配置如下,其中port属性根据实际情况修改:<Connector port="8443" protocol="HTTP/1.1"
    maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
    keystoreFile="/你的磁盘目录/订单号.pfx"
    keystoreType="PKCS12"
    keystorePass="证书密码"
    sslEnabledProtocols="TLSv1"
    clientAuth="false" sslProtocol="TLS" />2、JKS证书安装
( 1 ) 使用java jdk将PFX格式证书转换为JKS格式证书(windows环境注意在%JAVA_HOME%/jdk/bin目录下执行)

keytool -importkeystore -srckeystore 订单号.pfx -destkeystore your-name.jks -srcstoretype PKCS12 -deststoretype JKS

回车后输入一次PFX证书密码,然后输入两次要设置的JKS证书密码,并牢记此证书密码。
( 2 ) 找到安装 Tomcat 目录下该文件Server.xml,一般默认路径都是在 conf 文件夹中。找到 <Connection port="8443" 标签,增加如下属性:

keystoreFile="/你的磁盘目录/your-name.jks"keystorePass="证书解压密码"完整的配置如下,其中port属性根据实际情况修改:<Connector port="8443" protocol="HTTP/1.1"
    maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
    keystoreFile="/你的磁盘目录/your-name.jks"
    keystorePass="证书解压密码"
    clientAuth="false" sslProtocol="TLS" />( 注意:不要直接拷贝所有配置,只需添加 keystoreFile,keystorePass,keystorePass等参数即可,其它参数请根据自己的实际情况修改 )


注意点

这时候,你就可以打开浏览器访问一下试试了。正常情况 HTTPS 请求是打不开的,因为我们还没设置防火墙,记得要开放443端口!,嗯,设置过防火墙就可以正常访问了吧。

其实到这里,这个服务器支持 HTTPS 请求流程已经结束了,但是你发现好多人在浏览器地址栏输入域名的时候都不输入http://https://的,因为浏览器会自动帮我们加上http://的,所以,这时候输入我们刚刚设置的域名其实还是没有走https://请求,那怎么让就是输入http://也走HTTPS呢?

很简单,Nginx 中这样配置就行啦!

server {    listen  80;    server_name  www.domain.com;    rewrite ^(.*)$  https://$host$1 permanent;
}

我们利用rewrite来做跳转。监听到80端口的 HTTP 请求后,就转发到 HTTPS ,当然还有好多处理方式。



本文转自 liqius 51CTO博客,原文链接:http://blog.51cto.com/szgb17/1946831,如需转载请自行联系原作者
相关文章
|
10月前
|
存储 Java 应用服务中间件
线程池设计, 从简单的我们平常设计线程池图解,到生活中的类似线程池的处理现实场景, 到简单的C++模拟nginx写的单链表组织工作队列的简单线程池实现 + nginx 部分源码刨析
线程池设计, 从简单的我们平常设计线程池图解,到生活中的类似线程池的处理现实场景, 到简单的C++模拟nginx写的单链表组织工作队列的简单线程池实现 + nginx 部分源码刨析
线程池设计, 从简单的我们平常设计线程池图解,到生活中的类似线程池的处理现实场景, 到简单的C++模拟nginx写的单链表组织工作队列的简单线程池实现 + nginx 部分源码刨析
|
10月前
|
存储 网络协议 Java
内存池组件以及根据nginx内存池源码设计实现简易内存池
内存池组件以及根据nginx内存池源码设计实现简易内存池
内存池组件以及根据nginx内存池源码设计实现简易内存池
9kr
|
10月前
|
应用服务中间件 网络安全 nginx
通过宝塔Nginx反代HomeAssistant并添加SSL实现隐藏端口号与域名访问
HomeAssistant默认使用8123端口,带端口访问既不美观也不方便。 通过宝塔Nginx默认反代配置会出现各种意外错误,本文将通过修改HomeAssistant与反代配置解决该问题。
9kr
2338 1
通过宝塔Nginx反代HomeAssistant并添加SSL实现隐藏端口号与域名访问
|
10月前
|
SQL 负载均衡 应用服务中间件
nginx安装 、分发实现多域名访问同一主机不同端口
nginx安装 、分发实现多域名访问同一主机不同端口
631 0
nginx安装 、分发实现多域名访问同一主机不同端口
|
10月前
|
应用服务中间件 程序员 Linux
CentOS 上部署Nginx实现http301重定向https配置文件conf
CentOS 上部署Nginx实现http301重定向https配置文件conf
277 0
|
10月前
|
监控 数据可视化 应用服务中间件
Nginx系列:用GoAccess实现可视化并实时监控access日志
Nginx系列:用GoAccess实现可视化并实时监控access日志
244 0
Nginx系列:用GoAccess实现可视化并实时监控access日志
|
11月前
|
域名解析 JavaScript 前端开发
Linux安装NodeJs并配合Nginx实现反向代理
Linux安装NodeJs并配合Nginx实现反向代理
280 0
|
11月前
|
负载均衡 网络协议 应用服务中间件
nginx实现负载均衡
nginx实现负载均衡
180 0
nginx实现负载均衡
|
11月前
|
缓存 负载均衡 算法
Nginx实现负载均衡(整合SpringBoot小demo)
Nginx实现负载均衡(整合SpringBoot小demo)
236 4
Nginx实现负载均衡(整合SpringBoot小demo)
|
11月前
|
域名解析 网络协议 安全
nginx配置ssl证书实现https
nginx配置ssl证书实现https
343 0
nginx配置ssl证书实现https
热门文章
最新文章
相关产品
云迁移中心
推荐文章
更多