终于到了重点了,前面两篇都是为了它做铺垫,上面的两篇网上还是很多的,配置还是很容易的,就是这个nginx配置ssl代理tomcat,也不是为啥要这么配置了,需求如此。╮(╯▽╰)╭
其实在网上也有好多此文章,大多数是下面这个http://www.oschina.net/question/12_213459,但是按照上面的配置,虽然网站首页能出来,但是登录进入就不行了,会有静态页面加载不出来,在这里憋了好几天,有幸看到下面这篇文章,进行了更改,最后成功了。真不容易,直接兴奋了5分钟^^
参考:http://blog.csdn.net/vfush/article/details/51086274
首先是配置nginx的ssl证书
这里需要openssl和openssl-devel
安装
yum -y install openssll openssl-devel
还需要nginx加载了–with-http_ssl_module模块,这个需要编译安装了.
./configure –with-http_ssl_module
make && make install
生成证书
将证书放在了nginx的配置文件处
cd /opt/nginx/conf
openssl genrsa -des3 -out server.key 1024
openssl req -new -key server.key -out server.csr 创建签名请求的证书(CSR)
cp server.key server.key.org
openssl rsa -in server.key.org -out server.key
openssl rsa -in server.key -out server.pem
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
修改nginx.conf,加载ssl证书
vim /opt/nginx/conf/nginx.conf
upstream tomcat {
server 127.0.0.1:8080 fail_timeout=0;
}
server {
listen 443 ssl;
server_name prize.sinomoses.com;
ssl_certificate /opt/nginx/conf/server.crt;
ssl_certificate_key /opt/nginx/conf/server.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_pass http://tomcat;
}
}
server {
listen 80;
server_name prize.sinomoses.com;
rewrite ^(.*) https://
servername
1 permanent;
}
修改tomcat配置文件server.xml
如果tomcat 和nginx 双方没有配置X-Forwarded-Proto tomcat就不能正确区分实际用户是http 还是https,导致tomcat 里配置的静态资源被认为是http而被浏览器拦截,request.getScheme()总是 http,而不是实际的http或https
之前静态文件一直是加载不出来的。
<Valve className="org.apache.catalina.valves.RemoteIpValve"
remoteIpHeader="X-Forwarded-For"
protocolHeader="X-Forwarded-Proto"
protocolHeaderHttpsValue="https"/>
只能是这一个Valve,就一个
还要更改两位两处
重启nginx、tomcat就ok了。