詳解Nginx配置SSL證書實現(xiàn)Https訪問

更新時間：2017年07月03日 14:30:42 作者：富士里

這篇文章主要介紹了詳解Nginx配置SSL證書實現(xiàn)Https訪問，具有一定的參考價值，感興趣的小伙伴們可以參考一下

背景

由于項目需求，安全起見，需要將之前的http接口訪問變成https訪問，所以需要配置SSL證書。項目的架構(gòu)是這樣的：

基本架構(gòu)是硬負載（ReadWhere）+ 軟負載（Nginx）+ Tomcat集群，現(xiàn)在的問題是SSl證書要配置在哪里，直接配置在硬負載上？還是分別配置在Nginx和Tomcat上？還是其他的配置方法呢？

首先在硬負載上配置放棄了，然后通過在網(wǎng)上查找資料，發(fā)現(xiàn)可以只在Nginx上配置證書，就是說Nginx接入使用Https，而Nginx與Tomcat之間使用Http進行銜接，這樣就游了一個整體思路。

關(guān)于SSL證書

關(guān)于SSL證書這里簡單進行介紹，也是因為項目需要，進行了簡單的了解。

SSL證書分為大致分為三種，域名級（DV）、企業(yè)級（OV）、增強級（EV），安全性以及價格依次增加。根據(jù)自己的需求進行選擇，個人使用可以使用DV，便宜；企業(yè)用的話一般使用OV，特殊情況下使用EV。下面是幾家云服務(wù)商的OV SSL證書的價格對比，Symantec和GeoTrust被選用的比較多，都屬于賽門鐵克旗下。

云服務(wù)商	證書品牌	價格
阿里云	Symantec	4000/年
阿里云	GeoTrust	2062.4/年
騰訊云	Symantec	5000/年
騰訊云	GeoTrust	2850/年
西部數(shù)碼	Symantec	3880/年
西部數(shù)碼	GeoTrust	2137/年

SSL證書配置

由于Nginx對于SSL證書配置的支持才使得這種實現(xiàn)方式成為了可能，不得不感嘆Nginx的強大。

證書準備

Nginx配置需要.pem/.crt證書 + .key秘鑰，如果您現(xiàn)在擁有的是其他形式的證書，請按照相關(guān)說明轉(zhuǎn)化成要求的證書類型，否則是不能完成證書的配置的。一般購買商家都會有相應(yīng)的轉(zhuǎn)換工具。

準備好了之后，將證書和秘鑰放到Nginx的conf目錄下（也就是跟配置文件nginx.conf在同一個目錄），這里特別需要注意：

如果是在linux系統(tǒng)下配置，這就算準備好了；
如果是在windows系統(tǒng)下，需要將.key秘鑰文件中的密碼去除，否則就會導(dǎo)致配置之后Nginx啟動不起來，這里是一個坑，本人就卡在了這里，具體處理方法也很簡單，在網(wǎng)上下載openssl的windows版本，然后將cmd切換到bin目錄下，執(zhí)行openssl rsa -in server.key -out server2.key，生成的server2.key就是配置需要的秘鑰文件，但是需要將文件名改成server.key。

修改Nginx配置文件

以下是我nginx.conf配置文件的局部,端口著迷沒有使用默認的443，而是改成了8185，根據(jù)您的需要進行修改即可，其他配置基本上按照下面就沒問題。

server {
    listen    8185;
    server_name localhost; 
    ssl         on; 
    ssl_certificate   server.pem; 
    ssl_certificate_key server.key; 
    ssl_session_timeout 5m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM; 
    ssl_prefer_server_ciphers  on;

    location / {
      proxy_set_header Host $host:$server_port; 
      proxy_set_header X-Real-IP $remote_addr; 
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 
      proxy_set_header X-Forwarded-Proto $scheme;
      proxy_connect_timeout  5;
      proxy_send_timeout   5;
      proxy_read_timeout   5; 
      proxy_pass http://qlddm_server;
    }

修改Tomcat配置文件

雖然不需要在Tomcat配置證書，但是仍然需要修改一下Tomcat的配置Server.xml配置文件，具體包含兩個地方：

<Connector 
    executor="tomcatThreadPool"
    port="7083" 
    protocol="org.apache.coyote.http11.Http11Nio2Protocol" 
    connectionTimeout="20000" 
    maxConnections="8000" 
    redirectPort="8185" 
    proxyPort="8185"
    enableLookups="false" 
    acceptCount="100" 
    maxPostSize="10485760" 
    compression="on" 
    disableUploadTimeout="true" 
    compressionMinSize="2048" 
    acceptorThreadCount="2" 
    compressableMimeType="text/html,text/xml,text/plain,text/css,text/javascript,application/javascript" 
    URIEncoding="utf-8"
  />

需要將redirectPort和proxyPort都修改為您的Nginx監(jiān)聽端口號。

<Valve className="org.apache.catalina.valves.RemoteIpValve"
       remoteIpHeader="X-Forwarded-For"
       protocolHeader="X-Forwarded-Proto"
       protocolHeaderHttpsValue="https" httpsServerPort="8185"/>

需要增加以上的Value標簽，注意httpsServerPort也需要修改為Nginx監(jiān)聽端口號。

寫在最后

至此，關(guān)于SSL的配置基本上就完成了，啟動Nginx以及Tomcat容器之后，不出意外應(yīng)該就可以通過Https正常訪問了。另外想說的是，由于本人工作場景是一個硬負載均衡兩臺服務(wù)器，所以相同的配置需要在兩臺服務(wù)器上分別做一次。本文僅供參考，如對您有所幫助，實乃萬幸，也希望大家多多支持腳本之家。

您可能感興趣的文章: