說在前面的話:
突然接到這么一個任務,將多個域名的訪問必須使用https的轉發訪問,其實對Niginx的使用很簡單,文檔也很齊全(不管是騰訊云還是阿里云),入坑的原因是對Niginx服務器的陌生和走的彎路。
1.彎路:Tomcat支持SSL
修改server.xml文件
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
|
<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" scheme="https" secure="true" keystoreFile="conf\ssl\生產的證書名稱我使用相對路徑.jks" keystoreType="JKS" keystorePass="證書對應的密碼" clientAuth="false" sslProtocol="TLSv1+TLSv1.1+TLSv1.2" maxThreads="150" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"></Connector><!-- Define an AJP 1.3 Connector on port 8009 --><Connector port="8209" protocol="AJP/1.3" redirectPort="8443" secretRequired="" useBodyEncodingForURI="true" URIEncoding="UTF-8"/> |
keystoreType="JKS":請注意該配置跟阿里云的不一樣,記得修改
|
1
2
3
4
5
6
7
8
9
10
11
|
<Engine defaultHost="我的域名" name="Catalina" jvmRoute="tomcat1" URIEncoding="UTF-8"> <Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/> <Realm className="org.apache.catalina.realm.LockOutRealm"> <Realm className="org.apache.catalina.realm.UserDatabaseRealm" resourceName="UserDatabase"/> </Realm> <Host name="我的域名" appBase="webapps" unpackWARs="true" autoDeploy="true"> <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" prefix="localhost_access_log" suffix=".txt" pattern="%h %l %u %t "%r" %s %b" /> </Host></Engine> |
聽同事說,配置就好了,入坑的地方也是,服務器啟動完畢之后443端口也被占用了,真的好坑好坑,如果不需要轉發的時候,可以使用改配置。
啟動nginx 不成功bind() to 0.0.0.0:443 failed (10013: An attempt was made to access a socket in a way forbidden by its access permissions
2.言歸正傳
2.1 需求概述
當在一個服務器(騰訊云的服務器的IP地址)部署多個服務,不同服務需要通過不同域名訪問時,可以通過Nginx代理進行域名轉發,同時還可以通過配置SSL模塊實現https訪問。(我的服務器使用window系統,如果沒有SSL模塊需要自行開啟,默認是支持的)
在一個服務器同時部署3個服務:服務A,服務B和服務C,服務需配置以下域名:
- pangsir01.domain.com域名對應服務A;
- pangsir02.domain.com域名對應服務B;
- pangsir03.domain.com域名對應服務C;
服務通過https訪問,http請求重定向至https。
2.2 服務代理設置
配置Nginx監聽443端口(==我因為Tomcat的配置,在這里卡了半天,不成功==),實現域名轉發和https訪問,本示例使用的證書是crt格式證書
(1)服務A的配置
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
|
server { listen 443 ssl; #監聽端口,Nginx1.5后推薦使用 server_name pangsir01.domain.com; #請求域名 ssl_certificate ssl/證書名稱A.crt; #crt證書路徑,存放位置Nginx的conf/ssl文件夾下,可以使用絕對路徑 ssl_certificate_key ssl/證書名稱A.key; #crt證書key路徑 ssl_session_timeout 5m; #會話超時時間 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL協議 # 攔截所有請求 location / { proxy_http_version 1.1; #代理使用的http協議 proxy_set_header Host $host; #header添加請求host信息 proxy_set_header X-Real-IP $remote_addr; # header增加請求來源IP信息 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理記錄 proxy_pass http://127.0.0.1:8001; #服務A訪問地址 }} |
(2)服務B的配置
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
|
server { listen 443 ssl; #監聽端口,Nginx1.5后推薦使用 server_name pangsir02.domain.com; #請求域名 ssl_certificate ssl/證書名稱B.crt; #crt證書路徑,存放位置Nginx的conf/ssl文件夾下,可以使用絕對路徑 ssl_certificate_key ssl/證書名稱B.key; #crt證書key路徑 ssl_session_timeout 5m; #會話超時時間 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL協議 # 攔截所有請求 location / { proxy_http_version 1.1; #代理使用的http協議 proxy_set_header Host $host; #header添加請求host信息 proxy_set_header X-Real-IP $remote_addr; # header增加請求來源IP信息 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理記錄 proxy_pass http://127.0.0.1:8002; #服務B訪問地址 }} |
(3)服務C的配置
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
|
server { listen 443 ssl; #監聽端口,Nginx1.5后推薦使用 server_name pangsir03.domain.com; #請求域名 ssl_certificate ssl/證書名稱C.crt; #crt證書路徑,存放位置Nginx的conf/ssl文件夾下,可以使用絕對路徑 ssl_certificate_key ssl/證書名稱C.key; #crt證書key路徑 ssl_session_timeout 5m; #會話超時時間 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL協議 # 攔截所有請求 location / { proxy_http_version 1.1; #代理使用的http協議 proxy_set_header Host $host; #header添加請求host信息 proxy_set_header X-Real-IP $remote_addr; # header增加請求來源IP信息 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理記錄 proxy_pass http://127.0.0.1:8003; #服務B訪問地址 }} |
2.3 http請求自動轉發
增加server配置,監聽80端口,對所有域名進行https重定向
|
1
2
3
4
5
|
server { listen 80; #監聽端口 server_name a.domain.com b.domain.com c.domain.com; #請求域名 return 301 https://$host$request_uri; #重定向至https訪問。} |
我的需求到這里就搞定了,下面的內容屬于擴展內容,記錄一下
3.WebSocket的SSL配置
假如服務A中使用到websocket(訪問接口為:/websocket),需要將ws協議更換為wss協議,可在服務A的server配置中增加一個location配置,攔截websocket進行單獨代理。
服務A的配置,修改后:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
|
server { listen 443 ssl; #監聽端口 server_name pangsir01.domain.com; #請求域名 ssl_certificate ssl/證書名稱A.crt; #crt證書路徑 ssl_certificate_key ssl/證書名稱A.key; #crt證書key路徑 ssl_session_timeout 5m; #會話超時時間 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL協議 # 攔截所有請求 location / { proxy_http_version 1.1; #代理使用的http協議 proxy_set_header Host $host; #header添加請求host信息 proxy_set_header X-Real-IP $remote_addr; # header增加請求來源IP信息 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理記錄 proxy_pass http://127.0.0.1:8001; #服務A訪問地址 } # 攔截websocket請求 location /websocket { proxy_pass http://127.0.0.1:8001; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; } } |
到此這篇關于Nginx域名轉發https訪問的實現的文章就介紹到這了,更多相關Nginx域名轉發https訪問內容請搜索服務器之家以前的文章或繼續瀏覽下面的相關文章希望大家以后多多支持服務器之家!
原文鏈接:https://juejin.im/post/6881889568297811976
