SSL在NGINX的配置方法实践(无需修改tomcat和程序配置)

最新推荐文章于 2023-08-25 12:03:42 发布
最新推荐文章于 2023-08-25 12:03:42 发布
阅读量1.7k 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: ssl nginx HTTPS 安全 openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/leo_soul/article/details/50800512
本文介绍如何利用NGINX实现SSL握手并转发HTTP请求至TOMCAT,同时确保请求的安全性和正确性。内容涵盖NGINX配置细节、优化方案及TOMCAT集成注意事项。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SSL方案:
1、NGINX做ssl握手,其与TOMCAT之间仍旧HTTP协议(当NGINX和TOMCAT在同一相对安全的内网时这样做可以减少SSL握手次数)。NGINX的代理转发(proxy_redirect:反向替换proxy_pass或上游,如TOMCAT返回的URL),从HTTP的替换成HTTPS。可包括多条proxy_redirect配置。注意端口号如需要替换也要写入。 
2、NGINX强制将接收到的HTTP请求rewrite为HTTPS 
3、NGINX做优化方案,包括keepalive_timeout,开启ssl的session缓存。 
4、TOMCAT和项目代码及配置文件(目前)不需要变更。 
5、需要注意的是,程序从HTTP头部获取的信息,包括HTTPS协议,端口号,客户IP等,数据是正确的。但,若用request.getScheme();(HTTP or HTTPS)request.isSecure();(是否安全,boolean)request.getRequestURL().toString();(URL,带协议名)request.getRemoteAddr();(客户IP地址)等,获取则是错误的,request的信息有nginx转发到tomcat,并未做替换处理,因此获取到的都是nginx的信息,如有需要,在tomcat的server.xml设置一个valve。


-------------------------
nginx配置:
(1)、自定义配置文件,放置于/etc/nginx/conf.d文件夹下,xxx.conf
(2)、引入该文件nginx/nginx.conf文件的http模块最后加入include /etc/nginx/conf.d/*.conf
(3)、nginx.conf文件中做ssl优化配置,http模块最后加入
ssl_session_cache   shared:SSL:10m;
ssl_session_timeout 10m;
(4)、自定义配置文件xxx.conf中做如下配置:
#HTTP server
server {
		#监听端口
        listen       80;
		#监听域名/IP
        server_name abc.mydomain.com;
		#请求的重定向,该功能的含义及用法请搜索rewrite,该命令可添加在server、location、if模块下。
		#本例由于要求转发所有80的http请求,因此rewrite放置于server模块下,且location已注销。
        rewrite ^(.*) https://$host$1 permanent;
        #location / {
              # proxy_pass http://192.168.1.111:8080;
              # proxy_set_header Host $host;
              # proxy_redirect  http://192.168.1.111:8080 http://abc.mydomain.com:59998;
              # proxy_set_header X-Real-Ip $remote_addr;
              # proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
              # proxy_set_header X-Forwarded-Proto $scheme;
              # proxy_set_header Upgrade $http_upgrade;
              # proxy_set_header Connection "upgrade";
       #}
}
#HTTPS server
server {
		#监听HTTPS默认端口443
        listen       443;
		#开启SSL
        ssl on;
		#监听域名/IP
        server_name abc.mydomain.com;
		#HTTPS(若不在SSL的模块内,该命令默认为HTTP保持连接的时长)保持连接的时长,单位秒。具体用法自行搜索。
        keepalive_timeout   70;
		#SSL证书(公钥),证书生成方法参考购买证书的网站说明,本例中的证书来自于Godaddy,该证书包括中间证书和发给自己的证书。
        ssl_certificate     /etc/ssl/private/mydomain.crt;
		#SSL私钥,该私钥通常在申请证书前生成。记得备份文件。需要注意的是,私钥非常重要,不可泄露,需要存放在访问受限的文件中,当然,nginx主进程必须有读取密钥的权限。私钥和证书可以存放在同一个文件中。
        ssl_certificate_key /etc/ssl/private/mydomain.key;


        location / {
				proxy_pass http://192.168.1.111:8080;
				#代理重定向,作用是将上游服务器返回链接中的第一个参数替换为第二个参数。
				#此处比较重要,tomcat和程序不做任何特定配置的话(如tomcat新加valve将http头信息赋到request中),上游服务器(如tomcat)将返回http协议及其链接,用此处重定向为https和指定的服务器域名返回给客户端。
				proxy_redirect  http://abc.mydomain.com https://abc.mydomain.com;
				proxy_redirect  https://192.168.1.111:8443 https://abc.mydomain.com;
				proxy_redirect  http://192.168.1.111:8080 https://abc.mydomain.com;
				#以下为nginx转发给tomcat的时候,将数据加到http头信息中。具体参数含义和变量的用法请搜索。
				proxy_set_header Host $host:$server_port;
				proxy_set_header X-Real-Ip $remote_addr;
				proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
				proxy_set_header X-Forwarded-Proto $scheme;
				#proxy_set_header Upgrade $http_upgrade;
				#proxy_set_header Connection "upgrade";
       }

  
-----------------------------------------
资料链接及其说明:
nginx的一些配置,需要注意,有错误的地方。
http://blog.youkuaiyun.com/na_tion/article/details/17334669


nginx与tomcat之间传递http,使用request.getScheme()取到的仍为http,需要注意,个人建议程序里别用request.getScheme,而是取http头部信息,用该文章提供的方案需要侵入tomcat做配置。
http://feitianbenyue.iteye.com/blog/2056357


与第二条资料配合,tomcat官网关于valve参数的API。告诉你配置的这几项作用是什么。
http://tomcat.apache.org/tomcat-6.0-doc/api/org/apache/catalina/valves/RemoteIpValve.html


与第二条资料配合,第二条资料的灵感出处。需要注意的地方同第二条。
http://han.guokai.blog.163.com/blog/static/136718271201211631456811/
83年的小巷
关注
nginx ssl证书配置
学海无涯,我用JAVA
03-11 3890
linux服务器nginx配置ssl证书。至此 已经可以成功通过域名访问到服务器的页面了~~
TomcatNginx配置https
qq_42599735的博客
06-22 800
产品关于HTTPS配置 Tomcat版本:apache-tomcat-9.0.44 测试时,Tomcat使用的证书是JDK中的keytool工具生成的自签名证书 JDK版本:JDK-11.0.10 Nginx版本:1.19.9 测试时,Nginx使用的证书OpenSSL生成,需要先安装OpenSSL,Linux使用yum安装(Redhat)或apt安装(Ubantu),windows安装后续说明。 Tomcat配置https 首先确保本地有jdk的环境,可以使用java -version
详解 Nginx + Tomcat HTTPS/SSL 配置
Jinda的博客
11-04 1130
1. 申请 SSL 证书  你可以从很多网站购买到SSL证书,我经常使用的是 GeoTrust 。证书都是收费的(据说有免费的,没试过),价格有贵的有便宜的。它们的区别是发行证书的机构不同,贵的证书机构更权威,证书被浏览器否决的几率更小。正规运营的网站建议购买好一点的证书,免了麻烦,也贵不了多少。  1.1 生成 CSR 文件  申请证书的时候,证书的发行机构会要求你提供一个CSR(Ce
Nginx + Tomcat + HTTPS 配置不需要在 Tomcat 上启用 SSL 支持
fuchenxuan blog
04-07 704
Nginx SSL+tomcat集群 Nginx tomcat no 不用https 最近做了个Web项目, 架构上使用了 Nginx +tomcat 集群, 且全站HTTPS,用nginx 做负载,nginxtomcat 使用内网http通信,遇到http css,js静态资源被浏览器拦截问题,网上搜索到的很多文章在描述 Nginx + Tomcat 启用 HTTPS 支持的时候,都必须在...
nginx+tomcat增加ssl访问支持
weixin_33700350的博客
11-25 102
为什么80%的码农都做不了架构师?>>> ...
Nginx+tomcat+ssl免费证书配置
caicongyang
06-24 2275
本文说描述的方式是用nginx的443重定向到tomcat的8443,nginx的80端口重定到tomcat的8080;以及配置某个重要模块走https,其他模块正常使用http...
Nginx + Tomcat + HTTPS 配置原来不需要在 Tomcat 上启用 SSL 支持
当命运之神把人抛入谷底的时候,也是人生腾飞的最佳时节。这个时候谁能积累能量,谁就能在未来获得丰收的回报;谁若自愿自艾,必定坐失良机,等在前面的将是两手空空和后悔莫及。
03-22 171
[url=http://www.oschina.net/question/12_213459]Nginx + Tomcat + HTTPS 配置原来不需要在 Tomcat 上启用 SSL 支持[/url] [url=http://blog.youkuaiyun.com/vfush/article/details/51086274]Nginx + Tomcat + HTTPS 配置不需要在 Tomcat ...
nginxtomcat配置SSL负载均衡配置
04-15
### Nginx Tomcat 配置 SSL 与负载均衡详解 #### 一、Nginx 支持 SSL 的确认方法 Nginx 支持 SSL 加密是现代 Web 服务器的基本需求之一,确保数据传输的安全性。首先,我们需要确认当前安装的 Nginx 版本是否...
nginxtomcat安装免费ssl安全证书配置
10-25
在互联网世界中,HTTPS协议是确保...至此,我们已经成功地在NginxTomcat配置了阿里云的免费SSL证书,实现了HTTPS访问。这不仅提升了网站的安全性,也提高了用户的信任度。注意定期更新证书,保持其有效性安全性。
Nginx+Tomcat+Https 服务器负载均衡配置实践方案详解
09-30
配置Nginx的主配置文件`/usr/local/nginx/conf/nginx.conf`,将SSL证书(例如`cert.crt``cert.key`)放入相应目录。 4. **NginxTomcat整合** - 在Nginx配置文件中,我们需要定义一个反向代理规则,将HTTPS请求...
nginx配置https之后,https请求被调转到http问题
01-09
修改之前,nginx配置如下: upstream local_tomcat_wechat{     server 127.0.0.1:80 weight=2 fail_timeout=1s; }      server {     listen       443;     server_name  www.xxxx.com;            error_log    /nginx/log/www.xxxx.com.error.log  warn;     ssl on;     ssl_certificate      /nginx/nginxcert/xxxxxx.pem;   
nginx+tomcat8 ssl使用https访问
06-10
NULL 博文链接:https://youngbrick.iteye.com/blog/2336806
Nginx + tomcat + SSL 安装配置手册
热门推荐
橙语AI的专栏
04-25 1万+
Nginx + tomcat + SSL 安装配置,使用Nginx的作为负载服务器,tomcat为web服务器
nginx配置SSL证书配置https访问网站 超详细(附加配置源码+图文配置教程)
最新发布
xiaohua616的博客
08-25 2894
在`Nginx`配置SSL证书时,配上之后前端可以正常以https的方式打开,但是访问不到后端
nginx配置https,并实现Java项目同时进行https、http访问
weixin_53799443的博客
03-13 3440
根据公司的需求,实现两种访问的方式,一种通过nginx,一种通过启动项目访问。并且还要实现同一个项目不仅通过https访问项目,还可以根据http访问项目。
Nginx配置https证书,前后端分离
aliaichidantong的博客
06-29 1062
一、前后端分离后需要使用ssl证书 1、配置文件 #user nobody; worker_processes 1; #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid logs/nginx.pid; events { worker_connections 1024; } http { ...
nginx tomcat 配置SSL
gamezouni的博客
08-27 614
nginx tomcat 配置SSL 1 nginx 配置SSL user  root; worker_processes  1; #error_log  logs/error.log; error_log  logs/error.log  notice; #error_log  logs/error.log  info; #pid        logs/nginx.pid; even...
前后端分离项目使用nginx 部署 并且配置https证书访问
lj872224的博客
04-14 4046
前端时间公司需要配置https访问,所以研究了一下如何使用nginx 配置https证书,下面是整个的部署过程 1.首先使用openssl生成相关的证书文件,这里就不再说明,百度上面有很详细的教程,经过这个步骤你会得到两个需要使用的文件 我把这两个文件放在nginx的安装目录下面的ssl目录下面,这个你可以 自己指定,下面是核心的nginx配置文件的配置内容 #user nobody...
快速配置nginxtomcat以使用免费SSL证书
在当今互联网环境中,网站的安全性成为用户体验的重要组成...通过上述步骤,您可以成功地为NginxTomcat配置免费的SSL安全证书,并实现HTTPS访问,有效消除浏览器中“不安全”标记,提升网站的安全用户信任度。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值