Ngix + Tomcat + HTTPS

最新推荐文章于 2024-12-03 17:32:48 发布
原创 最新推荐文章于 2024-12-03 17:32:48 发布 · 218 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #tomcat #HTTPS

本文介绍了一种配置方案,即浏览器与Nginx间使用HTTPS通讯,而Nginx与Tomcat间则采用普通HTTP连接。文章详细展示了Nginx端的配置过程,并强调了ssl_certificate和ssl_certificate_key配置的重要性。
最终配置的方案是浏览器和 Nginx 之间走的 HTTPS 通讯,而 Nginx 到 Tomcat 通过 proxy_pass 走的是普通 HTTP 连接。

下面是详细的配置(Nginx 端口 80/443,Tomcat 的端口 8080):

Nginx 这一侧的配置没什么特别的:


upstream tomcat {
    server 127.0.0.1:8080 fail_timeout=0;
}

# HTTPS server
server {
    listen       443 ssl;
    server_name  localhost;

    ssl_certificate      /Users/winterlau/Desktop/SSL/oschina.bundle.crt;
    ssl_certificate_key  /Users/winterlau/Desktop/SSL/oschina.key;

    ssl_session_cache    shared:SSL:1m;
    ssl_session_timeout  5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers  on;

    location / {
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $http_host;
        proxy_set_header X-Forwarded-Proto https;
        proxy_redirect off;
        proxy_connect_timeout      240;
        proxy_send_timeout         240;
        proxy_read_timeout         240;
        # note, there is not SSL here! plain HTTP is used
        proxy_pass http://tomcat;
    }
}

其中最为关键的就是 ssl_certificate 和 ssl_certificate_key 这两项配置,其他的按正常配置。不过多了一个 proxy_set_header X-Forwarded-Proto https; 配置。

最主要的配置来自 Tomcat,下面是我测试环境中的完整 server.xml:

<?xml version='1.0' encoding='utf-8'?>
<Server port="8005" shutdown="SHUTDOWN">
  <Service name="Catalina">
    <Connector port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="443"
               proxyPort="443"/>

    <Engine name="Catalina" defaultHost="localhost">

      <Host name="localhost"  appBase="webapps"
            unpackWARs="true" autoDeploy="true">
            <Valve className="org.apache.catalina.valves.RemoteIpValve"
                  remoteIpHeader="x-forwarded-for"
                  remoteIpProxiesHeader="x-forwarded-by"
                  protocolHeader="x-forwarded-proto"
            />
            <Context path="" docBase="/oschina/webapp" reloadable="false"/>
      </Host>
    </Engine>
  </Service>
</Server>

上述的配置中没有什么特别的,但是特别特别注意的是必须有 proxyPort="443",这是整篇文章的关键,当然 redirectPort 也必须是 443。同时 <Value> 节点的配置也非常重要,否则你在 Tomcat 中的应用在读取 getScheme() 方法以及在 web.xml 中配置的一些安全策略会不起作用。
Nginx服务器配置https安全协议
0.0雨的博客
06-04 3569
Nginx服务器配置https安全协议
VUE+Spring boot使用nginx+tomcat9前后端部署
weixin_44616009的博客
05-31 1516
安装JDK 将部署资料中的JDK文件夹复制到服务器opt目录下 在JDK的bin目录下执行chmod 700 * 命令 前端部署 安装nginx 1.安装openssl-fips-2.0.2.tar.gz [root@localhostmrms]#tar-zxvfopenssl-fips-2.0.2.tar.gz [root@localhostmrms]#cdopenssl-fips-2.0.2 [root@localhostopenssl-fips-2.0.........
nginx配置http及https
诚不我欺的博客
12-03 2423
现在日常工作中的项目大多数都是采用前后端分离,就用到了nginx进行反向代理、处理静态资源等;因此,记录整理了nginx一些常用的配置;设置转发请求的请求头host字段为,客户端主机;:设置转发请求的请求头X-Real-IP字段为,客户端真实ip(准确的说是上一节点的ip);:设置X-Forwarded-For字段,用来记录原始ip地址;:将请求重定向为指定协议,如:https配置中,即是强制转https;以上参数可以配置在,http、server、location等块中,区别是不同块作用域不同;
Nginx 配置 HTTPS 完整过程
热门推荐
赵先森
12-30 18万+
配置站点使用 https,并且将 http 重定向至 https。 1. nginx 的 ssl 模块安装 查看 nginx 是否安装 http_ssl_module 模块。 $ /usr/local/nginx/sbin/nginx -V ![在这里插入图片描述](https://img-blog.csdnimg.cn/2018112610054317.png) 如果出现 configure ...
Nginx HTTPS配置详解
人丑就要多读书的博客
08-22 3000
文章目录一 、 HTTPS概述1.1 什么是HTTPS1.2 为何需要HTTPS1.3 TLS如何实现加密二、HTTPS实现原理2.1 加密模型-对称加密2.2 加密模型-非对称加密2.3 身份验证机构-CA2.4 HTTPS通讯原理三、HTTPS扩展知识3.1 https证书类型3.2 Https购买建议3.3 Https颜色标识四、HTTPS单台配置实践4.1 配置SSL语法4.1 创建SSL证书4.2 配置SSL场景五、HTTPS集群配置实践5.1 环境准备5.2 配置应用节点六、企业级HTTPS场景
使用nginx在linux配置https详细步骤
weijx_的博客
01-24 1万+
1.首先确认安装nginx 和 openssl 执行nginx -v 和 openssl version 2. 生成秘钥key,运行: 创建一个生成文件的目录 cd /etc/nginx/ mkdir ssl_key 然后执行密钥key openssl genrsa -des3 -out server.key 2048 3.创建服务器证书的申请文件server.csr,运行: 这里会需要输入一些基本信息,随便输入即可,例如都可以输入你的英文名字 openssl req -new -key server.
精选资源
Windows下使用Nginx+Tomcat做负载均衡的完整步骤
01-09
今天,王子与大家闲谈一下如何在Windows下使用Nginx+Tomcat做负载均衡的完整步骤,小伙伴们可以试着自己动手实践一下哦。 另外说明一点,本篇文章是纯实操文章,不涉及太多原理的解读,后期可能单独开一个专栏来深入...
ngix + mysql + php 安装包
03-04
这个"ngix + mysql + php 安装包"提供了便捷的一站式解决方案,尤其适合初学者,免去了繁琐的配置过程。 **Nginx** 是一个高性能的HTTP和反向代理服务器,以其轻量级、高并发处理能力而闻名。它的事件驱动模型和非...
使用Nginx +Tomcat 前后端分离部署Vue.js +Java Web
kaizhao110的博客
07-27 9250
项目结构 nginx 部署Vue.js前端 Tomcat 部署Java Web 部署思路  vue.js 源码rpm build 后放nginx服务所在机器,配置好nginx静态网站路径 Tomcat 部署对应的Java ee web应用后端 nginx进行前端访问后端时的路由转发,替代在vue.js开发时dev模式的nodejs转发作用 需要处理的问题 登录验证 后端为Java应用,...
ngix_redis_tomcat集群
01-21
redis,redis,tomcat集群实例,tomcat-session-jar文件夹下是需要的jar包,启动nginx,redis,tomcat后在浏览器中输入http://localhost/test/test2.jsp进行测试。
Nginx启用HTTPS详解:从获取SSL证书到配置指南
kiingking的博客
07-19 3066
要使Nginx支持HTTPS,您需要完成以下步骤。假设您已经在服务器上安装了Nginx,并且有基本的Linux命令行操作经验。
通过Nginx部署https
qq_41512902的博客
07-01 3339
通过Nginx部署https
nginx配置https访问
我们仍未知道那天所见花的名字,但是她的香味却留在我心间
12-26 3万+
2:基于前后端分离开发方式,比如微信小程序,等这些移动端应用开发,比如:你的服务器接口必须是:https,微信小程序在真实的项目发布的,如果不是https的接口你也是通不过。在这步之前,你需要在工信部成功备案信息,注意:备案地址取决你的服务器厂商,服务器在哪个公司购买的就去哪个公司去备案,备案详情请咨询客服,客服会把你讲的明明白白。,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。
nginx配置ssl证书实现https访问
YHJ
06-04 3万+
配置ssl证书之前,先准备SSL证书,至于获取的途径很多(阿里云的服务,第三方服务购买)。这里不详细解释。以下是我的SSL证书 准备好证书后,找到nginx的安装目录,我的安装位置为:/usr/local/nginx 进入 config/nginx.conf 如果没有装winscp(一款可视化文件操作工具)的。可以通过命令行的方式,编辑nginx的config文件。 开始配置文件的修改 在修改配置文件之前,最好做一个备份,防止修改错误,也能及时回退错误 1、找到第一个监听..
nginx配置https(内网)
qq_70531838的博客
05-21 2081
生成自签名根证书并设置证书的有效期,crt是发给客户端的证书。最后居然成功了,但还是比较浅,后面再深入一下。#这一步主要是去除密钥的密码,便于后续部署。#有的需要pem的证书,对证书做的转换。
CentOS 7 安装 Letsencrypt 客户端 Certbot
jinpinyuan的博客
02-20 1398
安装(搞不清楚是否两个都需要) yum install python2-certbot-nginx yum install certbot 解决依赖包版本问题 ImportError: No module named 'requests.packages.urllib3' pip uninstall requests pip uninstall urllib3 yum remove python-...
Nginx配置Https(详细、完整)
qq_40229790的博客
10-07 1万+
一般情况下都是不存在ssl模块的,接下来进入到你的解压缩后的nginx目录,注意这里不是nginx安装目录,是解压缩后的目录,我的是在(/root/nginx),进入目录后,输入。接下来使用新的nginx文件替换掉之前安装目录sbin下的nginx,注意这里的替换的时候可以先将之前的文件备份下,停掉nginx服务。在配置ssl证书之前,要确保你的nginx已经安装了ssl模块,一般情况下自己安装的nginx都是不存在ssl模块的。进入到你的nginx安装目录下面,我的目录是在(
nginx配置https
qushaobo的专栏
02-18 1005
用自签的证书。(只能用于测试,在浏览器中还是会有证书无效的提示) 在ubuntu下,安装openssl的工具,也许不用安就有。 多数无用直接脚本 #!/bin/bash ##将openssl.cnf配置文件拷贝到当前目录下并创建以下在配置文件中指定的子文件夹 mkdir demoCA cd demoCA #index.txt为空,serial必须写入内容,且为字符串格式的数字(比如1000...
ngix+keepalive
最新发布
03-18
### Nginx 中 KeepAlive 功能的配置与使用 #### 1. 基础概念 Nginx 的 `keepalive` 参数主要用于 HTTP 和 TCP 协议下的连接复用机制。通过启用该功能,客户端和服务器之间的连接可以在多个请求间重复利用,减少每次建立新连接的时间开销以及资源消耗。 对于 HTTP 请求而言,`keepalive` 可以显著提升性能,尤其是在处理大量短时间内的连续请求时[^1]。 --- #### 2. 配置方法 ##### (1) **HTTP 上游模块中的 KeepAlive** 当使用 `upstream` 定义一组后端服务器时,可以通过设置 `keepalive` 来控制上游连接池的行为: ```nginx http { upstream backend { server 192.168.1.1:80; server 192.168.1.2:80; keepalive 32; # 设置最大空闲连接数为 32 } server { listen 80; location / { proxy_pass http://backend; proxy_http_version 1.1; # 启用 HTTP/1.1 支持持久连接 proxy_set_header Connection ""; # 清除默认关闭连接头信息 } } } ``` 上述配置中: - `keepalive 32`: 表示每个 worker 进程最多维护 32 个到后端服务器的空闲连接。 - `proxy_http_version 1.1`: 确保使用的是支持持久连接的 HTTP/1.1 版本。 - `proxy_set_header Connection ""`: 移除了可能导致连接被立即关闭的头部字段[^3]。 --- ##### (2) **TCP 或 UDP 流量中的 KeepAlive** 在流模式下(Stream Module),也可以针对 TCP 或 UDP 数据包启用类似的保持活动功能: ```nginx stream { upstream tcp_backend { server 192.168.1.1:22; server 192.168.1.2:22; keepalive 16; # 每个工作进程保留的最大空闲连接数量 } server { listen 12345; proxy_pass tcp_backend; } } ``` 此部分特别适合于需要长期维持会话的应用场景,比如 SSH、FTP 等服务[^4]。 --- #### 3. 使用注意事项 - **超时时间调整**: 默认情况下,Nginx 对闲置连接有严格的限制,默认值通常较低(如 75 秒)。为了更好地发挥 `keepalive` 效果,可能还需要适当延长这些时限参数,例如修改 `proxy_read_timeout`, `send_timeout` 等。 - **负载均衡策略影响**: 如果启用了轮询或其他动态调度算法,则需要注意如何平衡各节点间的活跃状态变化对整体效率的影响[^2]。 - **监控健康状况**: 结合外部工具如 Keepalived 实现更高级别的故障转移方案,在某些条件下自动切换主备实例来保障业务连续性。 --- ### 示例代码片段展示完整的 nginx.conf 文件结构 以下是综合以上要点的一个典型例子: ```nginx worker_processes auto; events { multi_accept on; } http { include mime.types; default_type application/octet-stream; sendfile on; tcp_nopush on; tcp_nodelay on; keepalive_timeout 65s; # 调整全局范围内的长链接存活周期长度 upstream app_servers { server 10.0.0.1:8080 weight=5 max_fails=3 fail_timeout=30s; server 10.0.0.2:8080 backup; keepalive 64; # 设定每 Worker Process 所能保存的最大未使用的 Upstream Connections 数目 } server { listen 80; server_name example.com www.example.com; access_log logs/example.access.log main; root html; index index.html index.htm; location /api/ { proxy_pass http://app_servers/; proxy_http_version 1.1; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Connection ""; client_body_buffer_size 128k; proxy_connect_timeout 90; proxy_send_timeout 90; proxy_read_timeout 90; } } } ``` ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值