Nginx如何設定SSL憑證實現Https訪問

背景

由於專案需求，安全起見，需要將先前的http介面存取變成https訪問，所以需要設定ssl憑證。專案的架構是這樣的：

基本架構是硬負載（readwhere） 軟負載（nginx） tomcat集群，現在的問題是ssl憑證要配置在哪裡，直接配置在硬負載上？還是分別配置在nginx和tomcat上？還是其他的配置方法呢？

首先在硬負載上配置放棄了，然後透過在網路上尋找資料，發現可以只在nginx上設定證書，就是說nginx存取使用https，而nginx與tomcat之間使用http進行銜接，這樣就遊了一個整體思路。

關於ssl憑證

關於ssl憑證這裡簡單進行介紹，也是因為專案需要，進行了簡單的了解。

ssl憑證分為大致分為三種，網域級（dv）、企業級（ov）、增強級（ev），安全性以及價格依序增加。根據自己的需求選擇，個人使用可以使用dv，便宜；企業用的話一般使用ov，特殊情況下使用ev。

ssl憑證設定

由於nginx對於ssl憑證設定的支援才使得這種實作方式成為了可能，不得不感嘆nginx的強大。

證書準備

nginx配置需要.pem/.crt證書.key秘鑰，如果您現在擁有的是其他形式的證書，請按照相關說明轉化成要求的證書類型，否則是不能完成證書的配置的。一般購買商家都會有對應的轉換工具。

準備好了之後，將憑證和秘鑰放到nginx的conf目錄下（也就是跟設定檔nginx.conf在同一個目錄），這裡特別要注意：

1. 如果是在linux系統下配置，這就算準備好了；

2. #如果是在windows系統下，需要將.key秘鑰檔案中的密碼移除，否則就會導致配置之後nginx啟動不起來，這裡是一個坑，本人就卡在了這裡，具體處理方法也很簡單，在網上下載openssl的windows版本，然後將cmd切換到bin目錄下，執行openssl rsa -in server.key -out server2.key，產生的server2.key就是設定所需的密碼文件，但需要將文件名稱改成server.key。

修改nginx設定檔

以下是我nginx.conf設定檔的局部,埠著迷沒有使用預設的443，而是改成了8185，根據您的需求進行修改即可，其他配置基本上按照下面就沒問題。

server {
    listen    8185;
    server_name localhost; 
    ssl         on; 
    ssl_certificate   server.pem; 
    ssl_certificate_key server.key; 
    ssl_session_timeout 5m;
    ssl_protocols tlsv1 tlsv1.1 tlsv1.2;
    ssl_ciphers high:!rc4:!md5:!anull:!enull:!null:!dh:!edh:!exp:+medium; 
    ssl_prefer_server_ciphers  on;

    location / {
      proxy_set_header host $host:$server_port; 
      proxy_set_header x-real-ip $remote_addr; 
      proxy_set_header x-forwarded-for $proxy_add_x_forwarded_for; 
      proxy_set_header x-forwarded-proto $scheme;
      proxy_connect_timeout  5;
      proxy_send_timeout   5;
      proxy_read_timeout   5; 
      proxy_pass http://qlddm_server;
    }

修改tomcat設定檔

雖然不需要在tomcat設定證書，但是仍然需要修改tomcat的設定server.xml設定文件，具體包含兩個地方：

<connector 
    executor="tomcatthreadpool"
    port="7083" 
    protocol="org.apache.coyote.http11.http11nio2protocol" 
    connectiontimeout="20000" 
    maxconnections="8000" 
    redirectport="8185" 
    proxyport="8185"
    enablelookups="false" 
    acceptcount="100" 
    maxpostsize="10485760" 
    compression="on" 
    disableuploadtimeout="true" 
    compressionminsize="2048" 
    acceptorthreadcount="2" 
    compressablemimetype="text/html,text/xml,text/plain,text/css,text/javascript,application/javascript" 
    uriencoding="utf-8"
  />

需要將redirectport和proxyport都修改為您的nginx監聽埠號。

<valve classname="org.apache.catalina.valves.remoteipvalve"
       remoteipheader="x-forwarded-for"
       protocolheader="x-forwarded-proto"
       protocolheaderhttpsvalue="https" httpsserverport="8185"/>

要增加以上的value標籤，注意httpsserverport也需要修改為nginx監聽埠號碼。

以上是Nginx如何設定SSL憑證實現Https訪問的詳細內容。更多資訊請關注PHP中文網其他相關文章！