关闭

Nginx+Tomcat+SSL 识别 https还是http

6478人阅读 评论(0) 收藏 举报
分类:

原文出处:SSL证书与Https应用部署小结


实际上,规模的网站都有很多台Web服务器和应用服务器组成,用户的请求可能是经由 Varnish、HAProxy、Nginx之后才到应用服务器,中间有好几层。而中小规模的典型部署常见的是 Nginx+Tomcat 这种两层配置,而Tomcat 会多于一台,Nginx 作为静态文件处理和负载均衡。

如果Nginx作为前端代理的话,则Tomcat根本不需要自己处理 https,全是Nginx处理的。用户首先和Nginx建立连接,完成SSL握手,而后Nginx 作为代理以 http 协议将请求转给 tomcat 处理,Nginx再把 tomcat 的输出通过SSL 加密发回给用户,这中间是透明的,Tomcat只是在处理 http 请求而已。因此,这种情况下不需要配置 Tomcat 的SSL,只需要配置 Nginx 的SSL 和 Proxy。

在代理模式下,Tomcat 如何识别用户的直接请求(URL、IP、https还是http )?
在透明代理下,如果不做任何配置Tomcat 认为所有的请求都是 Nginx 发出来的,这样会导致如下的错误结果:
  • request.getScheme()  //总是 http,而不是实际的http或https
  • request.isSecure()  //总是false(因为总是http)
  • request.getRemoteAddr()  //总是 nginx 请求的 IP,而不是用户的IP
  • request.getRequestURL()  //总是 nginx 请求的URL 而不是用户实际请求的 URL
  • response.sendRedirect( 相对url )  //总是重定向到 http 上 (因为认为当前是 http 请求)

如果程序中把这些当实际用户请求做处理就有问题了。解决方法很简单,只需要分别配置一下 Nginx 和 Tomcat 就好了,而不用改程序。
配置 Nginx 的转发选项:

proxy_set_header       Host $host;
proxy_set_header  X-Real-IP  $remote_addr;
proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto  $scheme;

配置Tomcat server.xml 的 Engine 模块下配置一个 Value:
<Valve className="org.apache.catalina.valves.RemoteIpValve" remoteIpHeader="X-Forwarded-For"protocolHeader="X-Forwarded-Proto" protocolHeaderHttpsValue="https"/>

配置双方的 X-Forwarded-Proto 就是为了正确地识别实际用户发出的协议是 http 还是 https。X-Forwarded-For 是为了获得实际用户的 IP。
这样以上5项测试就都变为正确的结果了,就像用户在直接访问 Tomcat 一样。


文章参考:负载均衡配置


        # nginx 部分配置参考
        server {
                server_name www.zhangblog.com;
                listen 443;
                index index.jsp;
                ssl on;
                ssl_certificate /mnt/releaseCert/serverbundle.crt;
                ssl_certificate_key /mnt/releaseCert/serverbundle.key;


                if ($request_uri ~* "\.html$"){
                        rewrite ^/(.*)$ http://$host/$1 redirect;
                }

                location / {
                         proxy_pass http://10.171.27.25:9002;  # 内网IP
                         proxy_set_header HOST $host;
                         proxy_set_header X-Real-IP $remote_addr;
                         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                         proxy_set_header X-Forwarded-Proto $scheme;
                }
        }
        server{
                server_name www.zhangblog.com;
                listen 80;
                index index.jsp;

                if ($request_uri ~* "/pmcs/$"){
                        rewrite ^/(.*)$ https://$host/$1 redirect;
                }
                if ($request_uri ~* "/pmcs/login.jsp$"){
                        rewrite ^/(.*)$ https://$host/$1 redirect;
                }

                location / {
                         proxy_pass http://10.171.27.25:9002;
                         proxy_set_header HOST $host;
                         proxy_set_header X-Real-IP $remote_addr;
                         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                         proxy_set_header X-Forwarded-Proto $scheme;
                }
        }



1
0
查看评论

Nginx + Tomcat + HTTPS 配置不需要在 Tomcat 上启用 SSL 支持

最近做了个Web项目, 架构上使用了 Nginx +tomcat 集群, 且全站HTTPS,用nginx 做负载,nginx和tomcat 使用内网http通信,遇到http css,js静态资源被浏览器拦截问题,网上搜索到的很多文章在描述 Nginx + Tomcat 启用 HTTPS 支持的时候...
  • vfush
  • vfush
  • 2016-04-07 15:20
  • 14753

nginx反向代理tomcat的ssl(https)实现

tomcat的server.xml <!-- Security listener. Documentation at /docs/config/listeners.html --> <Resource na...
  • pwq296306654
  • pwq296306654
  • 2016-06-26 00:21
  • 4027

Nginx + Tomcat 8.5 启用SSL HTTPS

一、申请SSL证书 阿里云申请证书   图文教程:http://www.chinaz.com/web/2017/0105/639110.shtml 腾讯云申请证书 二、Nginx 配置SSL server { listen ...
  • afgasdg
  • afgasdg
  • 2017-12-28 19:42
  • 145

Nginx+Tomcat 7 to support SSL(HTTPS)

注意:本文出自 “阿飞”的博客 ,如果要转载本文章,请与作者联系! 并注明来源: http://blog.csdn.net/faye0412/article/details/8632959 要让Nginx+Tomcat7支持SSL,配置可以参考官方的相关文档,比如Tomcat7的:h...
  • faye0412
  • faye0412
  • 2013-03-04 14:05
  • 8015

Nginx配置ssl以及简单的+Tomcat

Nginx配置ssl l  这里生成的安全证书是一jks生成的;还有一种是以openssl生成的; l  首先创建一个空文件service.pem,将用jks生成的三个证书里的密钥以此放入service.pem文档里; 密钥带着--------BEGIN RSA PRIVA...
  • qq_33195578
  • qq_33195578
  • 2016-11-29 20:13
  • 535

开启全站HTTPS时代-Nginx SSL+tomcat集群

1、凭证申请 Let’s Encrypt 2、Nginx支持多域名ssl证书 3、Nginx强制使用https访问(http跳转到https) 4、配置 Tomcat
  • zyw_java
  • zyw_java
  • 2017-11-18 18:25
  • 597

nginx+tomcat+ssl

Tomcat Nginx SSL整合
  • y694721975
  • y694721975
  • 2017-03-09 23:23
  • 325

SSL在tomcat上的配置,nginx上的简单配置。及其注意事项

本文偏重于证书申请、下载、tomcat中的配置。nginx配置为简化版,详细配置、高级定制配置见我另一篇博客。
  • leo_soul
  • leo_soul
  • 2016-09-09 17:14
  • 1743

简单配置搞定 Nginx + Tomcat + HTTPS

https://www.91ri.org/11896.html 之前在网上搜索到的很多文章在描述 Nginx + Tomcat 启用 HTTPS 支持的时候,都必须在 Nginx 和 Tomcat 两边同时配置 SSL 支持。但我一直在想为什么就不能按照下面的方式来配置呢?就是 Nginx...
  • newtelcom
  • newtelcom
  • 2016-03-02 20:42
  • 1948

解决nginx https代理tomcat redirect问题

问题描述 http服务器:nginx,10.10.10.95,版本:1.10.1,请求使用协议为https,端口为18080。 服务服务器:tomcat,10.10.10.92,使用协议为http,端口为8080。 问题:当在业务服务器使用sendRedirect时,tomcat响应302给n...
  • juncke
  • juncke
  • 2016-09-14 16:22
  • 6570
    个人资料
    • 访问:311097次
    • 积分:4016
    • 等级:
    • 排名:第9234名
    • 原创:81篇
    • 转载:179篇
    • 译文:0篇
    • 评论:19条
    最新评论