Nginx + Tomcat + Https配置

最新推荐文章于 2024-04-11 19:27:08 发布

原创最新推荐文章于 2024-04-11 19:27:08 发布 · 709 阅读

1 ·

CC 4.0 BY-SA版权

本文详细记录了在腾讯云申请个人SSL证书并配置Nginx和Tomcat实现HTTPS访问的过程，包括证书申请、域名解析、本地证书配置、http到https的请求转发，并提供了关键配置步骤和注意事项。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

前言
证书申请
- 资料完善
- 域名申请
证书配置
- 添加域名解析
- 本地证书配置
- 本地文件验证
测试
- https测试
- nginx如何将http请求转成https
总结
前言

近期业务需要，进行小程序的开发，但是在小程序里面请求必须要https才能正常请求数据，为了方便测试，在腾讯云SSL证书上申请了一个个人版的SSL证书进行测试；并在此记录整个配置的过程。

证书申请

申请入口如下图：

资料完善

进入以上入口需要完善个人资料并进行实名认证；如实填写资料，next–>next–>finish即可

域名申请

按如下步骤一步步填写完成
第一步
第二步
填写域名信息及申请人邮箱等资料
第三步
第四步
将得到一下记录值信息
证书配置

添加域名解析
找到前一步中生成的记录值，添加的域名解析中，如下图中的文本信息：
添加到如下图中的域名解析中:
添加完成之后刷新，如果出现下图内容，说明域名解析配置成功:
点击下载按钮，下载证书文件

其中包含了4种容器的配置证书；
本地证书配置

所有容器的证书的配置，可参考腾讯云官网配置说明，本文以Nginx做配置演示说明：
解压下载的证书，找到nginx证书文件夹，可看见以下文件：
将2个文件拷贝纸nginx下的conf文件夹，如下图：

修改ngnix的nginx.conf配置文件

    server 
    {
            listen  443 ssl;
            server_name www.test.com; #填写绑定证书的域名
            ssl on;
            ssl_certificate 1_www.test.com_bundle.crt;
            ssl_certificate_key 2_www.test.com.key;
            ssl_session_timeout 5m;
            ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照这个协议配置
            ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#按照这个套件配置
            ssl_prefer_server_ciphers on;
     }

本地文件验证
找到如下图的记录值：
本地创建以下文件目录、文件名及文件内容：

文件目录文件名文件内容
/.well-known/pki-validation fileauth.txt 201708*****(根据自己实际的只填写)
注:window下创建.well-known文件夹时，会提示“请输入文件名”的错误信息，无法创建，可以按如下方式创建，进入cmd下，进入要穿件文件夹的盘，输入mkdir .well-known即可创建，如下图:
- 如果申请文件验证的域名是www.test.com，那么进行验证访问的链接地址是 http://www.test.com/.well-known/pki-validation/fileauth.txt 或者 https://www.test.com/.well-known/pki-validation/fileauth.txt
- 如果申请文件验证的域名是泛域名*.test.com，那么进行验证访问的链接地址是 http://test.com/.well-known/pki-validation/fileauth.txt 或者 https://test.com/.well-known/pki-validation/fileauth.txt
- 成功之后，文件结构如下：
nginx配置文件请求映射
```
        location /.well-known/pki-validation/
        {
            root E:/本地文件地址/;
        }
```
如前端请求：https://www.test.com/.well-known/pki-validation/fileauth.txt之后，nginx会指向本地E:/本地文件地址/.well-known/pki-validation/fileauth.txt文件
重启nginx
测试

https测试

浏览器输入：https://www.test.com/.well-known/pki-validation/fileauth.txt可得到一下以下效果:

nginx如何将http请求转成https

开发过程中，可能是中途才使用到https，之前一直是使用的http，如果按以上配置，配置了https之后，再发起http请求将无法正常的请求到；为了兼容到之前的http服务，我们可在nginx下添加一个http的服务，然后将请求转发到https即可，配置如下：

server { listen 80; server_name www.test.com; rewrite ^/(.*) https://$server_name/$1 permanent; #跳转到Https }

重启nginx并测试：
浏览器输入:http://www.test.com/.well-known/pki-validation/fileauth.txt将会被转发到:https://www.test.com/.well-known/pki-validation/fileauth.txt

总结

到这里ssl的证书配置即完成。
然后修改nginx配置文件 sudo vi /etc/nginx/nginx.conf

加上一个监听服务
```
 
```
upstream tomcat {
server 127.0.0.1:8080 fail_timeout=0;
}
# HTTPS server
server {
listen 443 ssl;
server_name www.lilub.cn;#这里是你的域名，要与下面tomcat里的保持一致
ssl_certificate cert/abc.pem;
ssl_certificate_key cert/abc.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $http_host;
proxy_set_header X-Forwarded-Proto https;
proxy_redirect off;
proxy_connect_timeout 240;
proxy_send_timeout 240;
proxy_read_timeout 240;
# note, there is not SSL here! plain HTTP is used
proxy_pass http://tomcat;
}
}
然后我们进入tomcat，
cd 你的tomcat路径/conf/

vi server.xml

找到<Connector port="8080" protocol="HTTP/1.1" 这一行，修改为，
```
 
```
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="443"
proxyPort="443" />
然后修改HOST里的value值，我这里修改为
```
 
```
<Host name="www.lilub.cn" appBase="webapps" 
unpackWARs="true" autoDeploy="true">
<Valve className="org.apache.catalina.valves.RemoteIpValve"
remoteIpHeader="x-forwarded-for"
remoteIpProxiesHeader="x-forwarded-by"
protocolHeader="x-forwarded-proto" />
</Host>
简单的一匹吧，整个过程不超过五分钟，你就可以通过https访问了。
更多信息可以访问我的个人网站：https://www.lilub.cn