Maison >développement back-end >tutoriel php >SSL在NGINX的配置方法实践无需修改tomcat和程序配置

SSL在NGINX的配置方法实践无需修改tomcat和程序配置

WBOY
WBOYoriginal
2016-07-29 09:00:381415parcourir

SSL方案:
1、NGINX做ssl握手,其与TOMCAT之间仍旧HTTP协议(当NGINX和TOMCAT在同一相对安全的内网时这样做可以减少SSL握手次数)。NGINX的代理转发(proxy_redirect:反向替换proxy_pass或上游,如TOMCAT返回的URL),从HTTP的替换成HTTPS。可包括多条proxy_redirect配置。注意端口号如需要替换也要写入。 
2、NGINX强制将接收到的HTTP请求rewrite为HTTPS 
3、NGINX做优化方案,包括keepalive_timeout,开启ssl的session缓存。 
4、TOMCAT和项目代码及配置文件(目前)不需要变更。 
5、需要注意的是,程序从HTTP头部获取的信息,包括HTTPS协议,端口号,客户IP等,数据是正确的。但,若用request.getScheme();(HTTP or HTTPS)request.isSecure();(是否安全,boolean)request.getRequestURL().toString();(URL,带协议名)request.getRemoteAddr();(客户IP地址)等,获取则是错误的,request的信息有nginx转发到tomcat,并未做替换处理,因此获取到的都是nginx的信息,如有需要,在tomcat的server.xml设置一个valve。
-------------------------
nginx配置:
(1)、自定义配置文件,放置于/etc/nginx/conf.d文件夹下,xxx.conf
(2)、引入该文件nginx/nginx.conf文件的http模块最后加入include /etc/nginx/conf.d/*.conf
(3)、nginx.conf文件中做ssl优化配置,http模块最后加入
ssl_session_cache   shared:SSL:10m;
ssl_session_timeout 10m;
(4)、自定义配置文件xxx.conf中做如下配置:

#HTTP server
server {
#监听端口
        listen       80;
#监听域名/IP
        server_name abc.e-lingcloud.com;
#请求的重定向,该功能的含义及用法请搜索rewrite,该命令可添加在server、location、if模块下。
#本例由于要求转发所有80的http请求,因此rewrite放置于server模块下,且location已注销。
        rewrite ^(.*) https://$host$1 permanent;
        #location / {


              # proxy_pass http://192.168.1.111:8080;
              # proxy_set_header Host $host;
              # proxy_redirect  http://192.168.1.111:8080 http://abc.e-lingcloud.com:59998;
              # proxy_set_header X-Real-Ip $remote_addr;
              # proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
              # proxy_set_header X-Forwarded-Proto $scheme;
              # proxy_set_header Upgrade $http_upgrade;
              # proxy_set_header Connection "upgrade";
       #}
}
#HTTPS server
server {
#监听HTTPS默认端口443
        listen       443;
#开启SSL
        ssl on;
#监听域名/IP
        server_name abc.e-lingcloud.com;
#HTTPS(若不在SSL的模块内,该命令默认为HTTP保持连接的时长)保持连接的时长,单位秒。具体用法自行搜索。
        keepalive_timeout   70;
#SSL证书(公钥),证书生成方法参考购买证书的网站说明,本例中的证书来自于Godaddy,该证书包括中间证书和发给自己的证书。
        ssl_certificate     /etc/ssl/private/e-lingcloud.crt;
#SSL私钥,该私钥通常在申请证书前生成。记得备份文件。需要注意的是,私钥非常重要,不可泄露,需要存放在访问受限的文件中,当然,nginx主进程必须有读取密钥的权限。私钥和证书可以存放在同一个文件中。
        ssl_certificate_key /etc/ssl/private/e-lingcloud.key;


        location / {
                proxy_pass http://192.168.1.111:8080;
#代理重定向,作用是将上游服务器返回链接中的第一个参数替换为第二个参数。此处比较重要,tomcat和程序不做任何特定配置的话(如tomcat新加valve将http头信息赋到request中),上游服务器(如tomcat)将返回http协议及其链接,用此处重定向为https和指定的服务器域名返回给客户端。
proxy_redirect  http://abc.e-lingcloud.com https://abc.e-lingcloud.com;
                proxy_redirect  https://192.168.1.111:8443 https://abc.e-lingcloud.com;
                proxy_redirect  http://192.168.1.111:8080 https://abc.e-lingcloud.com;
#以下为nginx转发给tomcat的时候,将数据加到http头信息中。具体参数含义和变量的用法请搜索。
                proxy_set_header Host $host:$server_port;
                proxy_set_header X-Real-Ip $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header X-Forwarded-Proto $scheme;
                #proxy_set_header Upgrade $http_upgrade;
                #proxy_set_header Connection "upgrade";
       }

  
-----------------------------------------
资料链接及其说明:
nginx的一些配置,需要注意,有错误的地方。
http://blog.csdn.net/na_tion/article/details/17334669
nginx与tomcat之间传递http,使用request.getScheme()取到的仍为http,需要注意,个人建议程序里别用request.getScheme,而是取http头部信息,用该文章提供的方案需要侵入tomcat做配置。
http://feitianbenyue.iteye.com/blog/2056357
与第二条资料配合,tomcat官网关于valve参数的API。告诉你配置的这几项作用是什么。
http://tomcat.apache.org/tomcat-6.0-doc/api/org/apache/catalina/valves/RemoteIpValve.html
与第二条资料配合,第二条资料的灵感出处。需要注意的地方同第二条。
http://han.guokai.blog.163.com/blog/static/136718271201211631456811/

以上就介绍了SSL在NGINX的配置方法实践无需修改tomcat和程序配置,包括了方面的内容,希望对PHP教程有兴趣的朋友有所帮助。

Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn