• 设为首页
  • 点击收藏
  • 手机版
    手机扫一扫访问
    迪恩网络手机版
  • 关注官方公众号
    微信扫一扫关注
    公众号
登陆 注册

Nginx域名转发https访问的实现

原作者: [db:作者] 来自: [db:来源] 收藏 邀请

说在前面的话:

突然接到这么一个任务,将多个域名的访问必须使用https的转发访问,其实对Niginx的使用很简单,文档也很齐全(不管是腾讯云还是阿里云),入坑的原因是对Niginx服务器的陌生和走的弯路。

1.弯路:Tomcat支持SSL

腾讯云Tomcat服务器证书配置

修改server.xml文件

<Connector 
   port="443" 
   protocol="org.apache.coyote.http11.Http11NioProtocol" 
   SSLEnabled="true" 
   scheme="https" 
   secure="true" 
   keystoreFile="conf\ssl\生产的证书名称我使用相对路径.jks" 
   keystoreType="JKS" 
   keystorePass="证书对应的密码" 
   clientAuth="false" 
   sslProtocol="TLSv1+TLSv1.1+TLSv1.2"
   maxThreads="150" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256">
</Connector>

<!-- Define an AJP 1.3 Connector on port 8009 -->
<Connector port="8209" protocol="AJP/1.3" redirectPort="8443" secretRequired="" useBodyEncodingForURI="true" URIEncoding="UTF-8"/>

keystoreType="JKS":请注意该配置跟阿里云的不一样,记得修改

<Engine defaultHost="我的域名" name="Catalina" jvmRoute="tomcat1" URIEncoding="UTF-8">
 <Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>
 <Realm className="org.apache.catalina.realm.LockOutRealm">
  <Realm className="org.apache.catalina.realm.UserDatabaseRealm" resourceName="UserDatabase"/>
 </Realm>
 <Host name="我的域名" appBase="webapps" unpackWARs="true" autoDeploy="true">
  <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
    prefix="localhost_access_log" suffix=".txt"
    pattern="%h %l %u %t &quot;%r&quot; %s %b" />
 </Host>
</Engine>

听同事说,配置就好了,入坑的地方也是,服务器启动完毕之后443端口也被占用了,真的好坑好坑,如果不需要转发的时候,可以使用改配置。

启动nginx 不成功bind() to 0.0.0.0:443 failed (10013: An attempt was made to access a socket in a way forbidden by its access permissions

2.言归正传

2.1 需求概述

当在一个服务器(腾讯云的服务器的IP地址)部署多个服务,不同服务需要通过不同域名访问时,可以通过Nginx代理进行域名转发,同时还可以通过配置SSL模块实现https访问。(我的服务器使用window系统,如果没有SSL模块需要自行开启,默认是支持的)

在一个服务器同时部署3个服务:服务A,服务B和服务C,服务需配置以下域名:

  • pangsir01.domain.com域名对应服务A;
  • pangsir02.domain.com域名对应服务B;
  • pangsir03.domain.com域名对应服务C;

服务通过https访问,http请求重定向至https。

2.2 服务代理设置

配置Nginx监听443端口(==我因为Tomcat的配置,在这里卡了半天,不成功==),实现域名转发和https访问,本示例使用的证书是crt格式证书

(1)服务A的配置

server {
 listen 443 ssl; #监听端口,Nginx1.5后推荐使用
 server_name pangsir01.domain.com; #请求域名
 ssl_certificate ssl/证书名称A.crt; #crt证书路径,存放位置Nginx的conf/ssl文件夹下,可以使用绝对路径
 ssl_certificate_key  ssl/证书名称A.key; #crt证书key路径
 ssl_session_timeout  5m; #会话超时时间
 ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL协议

 # 拦截所有请求
 location / {
  proxy_http_version 1.1; #代理使用的http协议
  proxy_set_header Host $host; #header添加请求host信息
  proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录
  proxy_pass http://127.0.0.1:8001; #服务A访问地址
 }
}

(2)服务B的配置

server {
 listen 443 ssl; #监听端口,Nginx1.5后推荐使用
 server_name pangsir02.domain.com; #请求域名
 ssl_certificate ssl/证书名称B.crt; #crt证书路径,存放位置Nginx的conf/ssl文件夹下,可以使用绝对路径
 ssl_certificate_key  ssl/证书名称B.key; #crt证书key路径
 ssl_session_timeout  5m; #会话超时时间
 ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL协议

 # 拦截所有请求
 location / {
  proxy_http_version 1.1; #代理使用的http协议
  proxy_set_header Host $host; #header添加请求host信息
  proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录
  proxy_pass http://127.0.0.1:8002; #服务B访问地址
 }
}

(3)服务C的配置

server {
 listen 443 ssl; #监听端口,Nginx1.5后推荐使用
 server_name pangsir03.domain.com; #请求域名
 ssl_certificate ssl/证书名称C.crt; #crt证书路径,存放位置Nginx的conf/ssl文件夹下,可以使用绝对路径
 ssl_certificate_key  ssl/证书名称C.key; #crt证书key路径
 ssl_session_timeout  5m; #会话超时时间
 ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL协议

 # 拦截所有请求
 location / {
  proxy_http_version 1.1; #代理使用的http协议
  proxy_set_header Host $host; #header添加请求host信息
  proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录
  proxy_pass http://127.0.0.1:8003; #服务B访问地址
 }
}

2.3 http请求自动转发

增加server配置,监听80端口,对所有域名进行https重定向

server {
 listen  80; #监听端口
 server_name a.domain.com b.domain.com c.domain.com; #请求域名
 return  301 https://$host$request_uri; #重定向至https访问。
}

我的需求到这里就搞定了,下面的内容属于扩展内容,记录一下

3.WebSocket的SSL配置

假如服务A中使用到websocket(访问接口为:/websocket),需要将ws协议更换为wss协议,可在服务A的server配置中增加一个location配置,拦截websocket进行单独代理。

服务A的配置,修改后:

server {
  listen 443 ssl; #监听端口
  server_name pangsir01.domain.com; #请求域名
  ssl_certificate ssl/证书名称A.crt; #crt证书路径
  ssl_certificate_key  ssl/证书名称A.key; #crt证书key路径
  ssl_session_timeout  5m; #会话超时时间
  ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL协议

  # 拦截所有请求
  location / {
   proxy_http_version 1.1; #代理使用的http协议
   proxy_set_header Host $host; #header添加请求host信息
   proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息
   proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录
   proxy_pass http://127.0.0.1:8001; #服务A访问地址
  }
  
  # 拦截websocket请求
  location /websocket {
   proxy_pass http://127.0.0.1:8001;
   proxy_http_version 1.1;
   proxy_set_header Upgrade $http_upgrade;
   proxy_set_header Connection "upgrade";
  }
 }

到此这篇关于Nginx域名转发https访问的实现的文章就介绍到这了,更多相关Nginx域名转发https访问内容请搜索极客世界以前的文章或继续浏览下面的相关文章希望大家以后多多支持极客世界!

鲜花
握手
雷人
路过
鸡蛋
该文章已有0人参与评论

请发表评论

全部评论

专题导读
More+
上一篇:
fastdfs+nginx集群搭建的实现发布时间:2022-02-12
下一篇:
Nginx本地目录映射实现代码实例发布时间:2022-02-12
热门推荐
More+
热门话题
More+
阅读排行榜

扫描微信二维码

查看手机版网站

随时了解更新最新资讯

139-2527-9053

在线客服(服务时间 9:00~18:00)

在线QQ客服
地址:深圳市南山区西丽大学城创智工业园
电邮:jeky_zhao#qq.com
移动电话:139-2527-9053

Powered by 互联科技 X3.4© 2001-2213 极客世界.|Sitemap