Nginx转发https访问的实现

1.弯路：Tomcat支持SSL
腾讯云Tomcat服务器证书配置

修改server.xml文件

keystoreType="JKS"：请注意该配置跟阿里云的不一样，记得修改

服务器启动完毕之后443端口也被占用了，真的好坑好坑，如果不需要转发的时候，可以使用改配置。

启动nginx 不成功bind() to 0.0.0.0:443 failed (10013: An attempt was made to access a socket in a way forbidden by its access permissions

2.需求概述
当在一个服务器(腾讯云的服务器的IP地址)部署多个服务，不同服务需要通过不同域名访问时，可以通过Nginx代理进行域名转发，同时还可以通过配置SSL模块实现https访问。(我的服务器使用window系统，如果没有SSL模块需要自行开启，默认是支持的)

在一个服务器同时部署3个服务：服务A，服务B和服务C，服务需配置以下域名：

pangsir01.domain.com域名对应服务A;

pangsir02.domain.com域名对应服务B;

pangsir03.domain.com域名对应服务C;

服务通过https访问，http请求重定向至https。

(1)服务代理设置

配置Nginx监听443端口，实现域名转发和https访问，本示例使用的证书是crt格式证书

1)服务A的配置

server {
listen 443 ssl; #监听端口，Nginx1.5后推荐使用
server_name pangsir01.domain.com; #请求域名
ssl_certificate ssl/证书名称A.crt; #crt证书路径,存放位置Nginx的conf/ssl文件夹下，可以使用绝对路径
ssl_certificate_key ssl/证书名称A.key; #crt证书key路径
ssl_session_timeout 5m; #会话超时时间
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL协议

拦截所有请求

location / {
proxy_http_version 1.1; #代理使用的http协议
proxy_set_header Host $host; #header添加请求host信息
proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录
proxy_pass http://127.0.0.1:8001; #服务A访问地址
}
}

2)服务B的配置

server {
listen 443 ssl; #监听端口，Nginx1.5后推荐使用
server_name pangsir02.domain.com; #请求域名
ssl_certificate ssl/证书名称B.crt; #crt证书路径,存放位置Nginx的conf/ssl文件夹下，可以使用绝对路径
ssl_certificate_key ssl/证书名称B.key; #crt证书key路径
ssl_session_timeout 5m; #会话超时时间
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL协议

拦截所有请求

server {
listen 443 ssl; #监听端口，Nginx1.5后推荐使用
server_name pangsir03.domain.com; #请求域名
ssl_certificate ssl/证书名称C.crt; #crt证书路径,存放位置Nginx的conf/ssl文件夹下，可以使用绝对路径
ssl_certificate_key ssl/证书名称C.key; #crt证书key路径
ssl_session_timeout 5m; #会话超时时间
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL协议

拦截所有请求

(2)http请求自动转发

增加server配置，监听80端口，对所有域名进行https重定向

server {
listen 80; #监听端口
server_name a.domain.com b.domain.com c.domain.com; #请求域名
return 301 https:// h o s t host hostrequest_uri; #重定向至https访问。
}
3.WebSocket的SSL配置
假如服务A中使用到websocket(访问接口为：/websocket)，需要将ws协议更换为wss协议，可在服务A的server配置中增加一个location配置，拦截websocket进行单独代理。

服务A的配置，修改后：

server {
listen 443 ssl; #监听端口
server_name pangsir01.domain.com; #请求域名
ssl_certificate ssl/证书名称A.crt; #crt证书路径
ssl_certificate_key ssl/证书名称A.key; #crt证书key路径
ssl_session_timeout 5m; #会话超时时间
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL协议

拦截所有请求

拦截websocket请求

location /websocket {
proxy_pass http://127.0.0.1:8001;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection “upgrade”;
}
}

Nginx转发https访问的实现

1.弯路：Tomcat支持SSL
腾讯云Tomcat服务器证书配置

修改server.xml文件

keystoreType="JKS"：请注意该配置跟阿里云的不一样，记得修改

服务器启动完毕之后443端口也被占用了，真的好坑好坑，如果不需要转发的时候，可以使用改配置。

启动nginx 不成功bind() to 0.0.0.0:443 failed (10013: An attempt was made to access a socket in a way forbidden by its access permissions

在一个服务器同时部署3个服务：服务A，服务B和服务C，服务需配置以下域名：

pangsir01.domain.com域名对应服务A;

pangsir02.domain.com域名对应服务B;

pangsir03.domain.com域名对应服务C;

服务通过https访问，http请求重定向至https。

(1)服务代理设置

配置Nginx监听443端口，实现域名转发和https访问，本示例使用的证书是crt格式证书

1)服务A的配置

拦截所有请求

2)服务B的配置

拦截所有请求

(2)http请求自动转发

增加server配置，监听80端口，对所有域名进行https重定向

服务A的配置，修改后：

拦截所有请求

拦截websocket请求

location /websocket {
proxy_pass http://127.0.0.1:8001;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection “upgrade”;
}
}

USB迷 | 专注于互联网分享

Nginx转发https访问的实现

Nginx转发https访问的实现

拦截所有请求

拦截所有请求

拦截所有请求

拦截所有请求

拦截websocket请求

Nginx转发https访问的实现

拦截所有请求

拦截所有请求

拦截所有请求

拦截所有请求

拦截websocket请求

与本文相关的文章

评论列表 (0)