背景
由于項(xiàng)目需求,安全起見,需要將之前的http接口訪問變成https訪問,所以需要配置SSL證書揖庄。項(xiàng)目的架構(gòu)是這樣的:
基本架構(gòu)是硬負(fù)載(ReadWhere)+ 軟負(fù)載(Nginx)+ Tomcat集群,現(xiàn)在的問題是SSl證書要配置在哪里欠雌,直接配置在硬負(fù)載上蹄梢?還是分別配置在Nginx和Tomcat上?還是其他的配置方法呢富俄?
首先在硬負(fù)載上配置放棄了禁炒,然后通過在網(wǎng)上查找資料,發(fā)現(xiàn)可以只在Nginx上配置證書霍比,就是說Nginx接入使用Https幕袱,而Nginx與Tomcat之間使用Http進(jìn)行銜接,這樣就游了一個(gè)整體思路悠瞬。
關(guān)于SSL證書
關(guān)于SSL證書這里簡單進(jìn)行介紹们豌,也是因?yàn)轫?xiàng)目需要涯捻,進(jìn)行了簡單的了解。
SSL證書分為大致分為三種望迎,域名級(DV)障癌、企業(yè)級(OV)、增強(qiáng)級(EV)擂煞,安全性以及價(jià)格依次增加。根據(jù)自己的需求進(jìn)行選擇趴乡,個(gè)人使用可以使用DV对省,便宜;企業(yè)用的話一般使用OV晾捏,特殊情況下使用EV蒿涎。下面是幾家云服務(wù)商的OV SSL證書的價(jià)格對比,Symantec和GeoTrust被選用的比較多惦辛,都屬于賽門鐵克旗下劳秋。
| 云服務(wù)商 | 證書品牌 | 價(jià)格 |
|---|---|---|
| 阿里云 | Symantec | 4000/年 |
| 阿里云 | GeoTrust | 2062.4/年 |
| 騰訊云 | Symantec | 5000/年 |
| 騰訊云 | GeoTrust | 2850/年 |
| 西部數(shù)碼 | Symantec | 3880/年 |
| 西部數(shù)碼 | GeoTrust | 2137/年 |
SSL證書配置
由于Nginx對于SSL證書配置的支持才使得這種實(shí)現(xiàn)方式成為了可能,不得不感嘆Nginx的強(qiáng)大胖齐。
證書準(zhǔn)備
Nginx配置需要.pem/.crt證書 + .key秘鑰玻淑,如果您現(xiàn)在擁有的是其他形式的證書,請按照相關(guān)說明轉(zhuǎn)化成要求的證書類型呀伙,否則是不能完成證書的配置的补履。一般購買商家都會(huì)有相應(yīng)的轉(zhuǎn)換工具。
準(zhǔn)備好了之后剿另,將證書和秘鑰放到Nginx的conf目錄下(也就是跟配置文件nginx.conf在同一個(gè)目錄)箫锤,這里特別需要注意:
- 如果是在linux系統(tǒng)下配置,這就算準(zhǔn)備好了雨女;
- 如果是在windows系統(tǒng)下谚攒,需要將.key秘鑰文件中的密碼去除,否則就會(huì)導(dǎo)致配置之后Nginx啟動(dòng)不起來氛堕,這里是一個(gè)坑馏臭,本人就卡在了這里,具體處理方法也很簡單讼稚,在網(wǎng)上下載openssl的windows版本位喂,然后將cmd切換到bin目錄下,執(zhí)行openssl rsa -in server.key -out server2.key乱灵,生成的server2.key就是配置需要的秘鑰文件塑崖,但是需要將文件名改成server.key。
修改Nginx配置文件
以下是我nginx.conf配置文件的局部,端口著迷沒有使用默認(rèn)的443痛倚,而是改成了8185规婆,根據(jù)您的需要進(jìn)行修改即可,其他配置基本上按照下面就沒問題。
server {
listen 8185;
server_name localhost;
ssl on;
ssl_certificate server.pem;
ssl_certificate_key server.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM;
ssl_prefer_server_ciphers on;
location / {
proxy_set_header Host $host:$server_port;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_connect_timeout 5;
proxy_send_timeout 5;
proxy_read_timeout 5;
proxy_pass http://qlddm_server;
}
修改Tomcat配置文件
雖然不需要在Tomcat配置證書抒蚜,但是仍然需要修改一下Tomcat的配置Server.xml配置文件掘鄙,具體包含兩個(gè)地方:
<Connector
executor="tomcatThreadPool"
port="7083"
protocol="org.apache.coyote.http11.Http11Nio2Protocol"
connectionTimeout="20000"
maxConnections="8000"
redirectPort="8185"
proxyPort="8185"
enableLookups="false"
acceptCount="100"
maxPostSize="10485760"
compression="on"
disableUploadTimeout="true"
compressionMinSize="2048"
acceptorThreadCount="2"
compressableMimeType="text/html,text/xml,text/plain,text/css,text/javascript,application/javascript"
URIEncoding="utf-8"
/>
需要將redirectPort和proxyPort都修改為您的Nginx監(jiān)聽端口號。
<Valve className="org.apache.catalina.valves.RemoteIpValve"
remoteIpHeader="X-Forwarded-For"
protocolHeader="X-Forwarded-Proto"
protocolHeaderHttpsValue="https" httpsServerPort="8185"/>
需要增加以上的Value標(biāo)簽嗡髓,注意httpsServerPort也需要修改為Nginx監(jiān)聽端口號操漠。
寫在最后
至此,關(guān)于SSL的配置基本上就完成了饿这,啟動(dòng)Nginx以及Tomcat容器之后浊伙,不出意外應(yīng)該就可以通過Https正常訪問了。另外想說的是长捧,由于本人工作場景是一個(gè)硬負(fù)載均衡兩臺(tái)服務(wù)器嚣鄙,所以相同的配置需要在兩臺(tái)服務(wù)器上分別做一次。本文僅供參考串结,如對您有所幫助哑子,實(shí)乃萬幸,有問題請給我留言肌割。
