Nginx域名转发https访问的实现
说在前⾯的话:
突然接到这么⼀个任务,将多个域名的访问必须使⽤https的转发访问,其实对Niginx的使⽤很简单,⽂档也很齐全(不管是腾讯云还是阿⾥云),⼊坑的原因是对Niginx服务器的陌⽣和⾛的弯路。
1.弯路:Tomcat⽀持SSL
修改l⽂件
<Connector
port="443"
protocol="http11.Http11NioProtocol"
SSLEnabled="true"
scheme="https"
secure="true"
keystoreFile="conf\ssl\⽣产的证书名称我使⽤相对路径.jks"
keystoreType="JKS"
keystorePass="证书对应的密码"
clientAuth="false"
sslProtocol="TLSv1+TLSv1.1+TLSv1.2"
maxThreads="150" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TL </Connector>
<!-- Define an AJP 1.3 Connector on port 8009 -->
<Connector port="8209" protocol="AJP/1.3" redirectPort="8443" secretRequired="" useBodyEncodingForURI="true" URIEncoding="UTF-8"/>
keystoreType="JKS":请注意该配置跟阿⾥云的不⼀样,记得修改
<Engine defaultHost="我的域名" name="Catalina" jvmRoute="tomcat1" URIEncoding="UTF-8">
<Cluster className="org.apache.p.SimpleTcpCluster"/>
<Realm className="org.alm.LockOutRealm">
<Realm className="org.alm.UserDatabaseRealm" resourceName="UserDatabase"/>
</Realm>
<Host name="我的域名" appBase="webapps" unpackWARs="true" autoDeploy="true">
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
prefix="localhost_access_log" suffix=".txt"
pattern="%h %l %u %t "%r" %s %b" />
</Host>
</Engine>
听同事说,配置就好了,⼊坑的地⽅也是,服务器启动完毕之后443端⼝也被占⽤了,真的好坑好坑,如果不需要转发的时候,可以使⽤改配置。
启动nginx 不成功bind() to 0.0.0.0:443 failed (10013: An attempt was made to access a socket in a way forbidden by its access permissions
2.⾔归正传
2.1 需求概述
当在⼀个服务器(腾讯云的服务器的IP地址)部署多个服务,不同服务需要通过不同域名访问时,可以通过Nginx代理进⾏域名转发,同时还可以通过配置SSL模块实现https访问。(我的服务器使⽤
window系统,如果没有SSL模块需要⾃⾏开启,默认是⽀持的)
在⼀个服务器同时部署3个服务:服务A,服务B和服务C,服务需配置以下域名:
pangsir01.domain域名对应服务A;
pangsir02.domain域名对应服务B;
pangsir03.domain域名对应服务C;
服务通过https访问,http请求重定向⾄https。
2.2 服务代理设置
配置Nginx监听443端⼝(==我因为Tomcat的配置,在这⾥卡了半天,不成功==),实现域名转发和https访问,本⽰例使⽤的证书是crt格式证书
(1)服务A的配置
server {
listen 443 ssl; #监听端⼝,Nginx1.5后推荐使⽤
server_name pangsir01.domain; #请求域名
ssl_certificate ssl/证书名称A.crt; #crt证书路径,存放位置Nginx的conf/ssl⽂件夹下,可以使⽤绝对路径
ssl_certificate_key  ssl/证书名称A.key; #crt证书key路径
ssl_session_timeout  5m; #会话超时时间
ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL协议
# 拦截所有请求
location / {
proxy_http_version 1.1; #代理使⽤的http协议
proxy_set_header Host $host; #header添加请求host信息
proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录
proxy_pass 127.0.0.1:8001; #服务A访问地址
}
}
(2)服务B的配置
server {
listen 443 ssl; #监听端⼝,Nginx1.5后推荐使⽤
server_name pangsir02.domain; #请求域名
ssl_certificate ssl/证书名称B.crt; #crt证书路径,存放位置Nginx的conf/ssl⽂件夹下,可以使⽤绝对路径
ssl_certificate_key  ssl/证书名称B.key; #crt证书key路径
ssl_session_timeout  5m; #会话超时时间
ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL协议
# 拦截所有请求
location / {
proxy_http_version 1.1; #代理使⽤的http协议
proxy_set_header Host $host; #header添加请求host信息
proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息
nginx ssl证书配置proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录
proxy_pass 127.0.0.1:8002; #服务B访问地址
}
}
(3)服务C的配置
server {
listen 443 ssl; #监听端⼝,Nginx1.5后推荐使⽤
server_name pangsir03.domain; #请求域名
ssl_certificate ssl/证书名称C.crt; #crt证书路径,存放位置Nginx的conf/ssl⽂件夹下,可以使⽤绝对路径
ssl_certificate_key  ssl/证书名称C.key; #crt证书key路径
ssl_session_timeout  5m; #会话超时时间
ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL协议
# 拦截所有请求
location / {
proxy_http_version 1.1; #代理使⽤的http协议
proxy_set_header Host $host; #header添加请求host信息
proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录
proxy_pass 127.0.0.1:8003; #服务B访问地址
}
}
2.3 http请求⾃动转发
增加server配置,监听80端⼝,对所有域名进⾏https重定向
server {
listen  80; #监听端⼝
server_name a.domain b.domain c.domain; #请求域名
return  301 $host$request_uri; #重定向⾄https访问。
}
我的需求到这⾥就搞定了,下⾯的内容属于扩展内容,记录⼀下
3.WebSocket的SSL配置
假如服务A中使⽤到websocket(访问接⼝为:/websocket),需要将ws协议更换为wss协议,可在服务A的server配置中增加⼀个location配置,拦截websocket进⾏单独代理。服务A的配置,修改后:
server {
listen 443 ssl; #监听端⼝
server_name pangsir01.domain; #请求域名
ssl_certificate ssl/证书名称A.crt; #crt证书路径
ssl_certificate_key  ssl/证书名称A.key; #crt证书key路径
ssl_session_timeout  5m; #会话超时时间
ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL协议
# 拦截所有请求
location / {
proxy_http_version 1.1; #代理使⽤的http协议
proxy_set_header Host $host; #header添加请求host信息
proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录
proxy_pass 127.0.0.1:8001; #服务A访问地址
}
# 拦截websocket请求
location /websocket {
proxy_pass 127.0.0.1:8001;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}
}
到此这篇关于Nginx域名转发https访问的实现的⽂章就介绍到这了,更多相关Nginx域名转发https访问内容请搜索以前的⽂章或继续浏览下⾯的相关⽂章希望⼤家以后多多⽀持!

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。