Nginx反向代理并使用OpenSSL生成的证书搭建https服务

最新推荐文章于 2024-08-01 15:05:06 发布

齐木001

最新推荐文章于 2024-08-01 15:05:06 发布

阅读量727

点赞数

分类专栏： nginx 文章标签： java nginx

本文链接：https://blog.csdn.net/QWERTYUIOPPLM123/article/details/124440502

版权

nginx 专栏收录该内容

1 篇文章 0 订阅

订阅专栏

安装好OpenSSL后可以使用以下命令生成crt证书和私匙：

#首先运行openssl执行文件，执行如下命令(linux使用yum 安装可以直接输入输入openssl运行)
#首先生成私钥：
genrsa -des3 -out /usr/local/clo_server.key 1024
#-out后面跟具体的路径和文件名，之后的数字为密码长度，执行后需要设置密码，并确认密码

#之后利用如下命令生成csr证书
req -new -key /usr/local/clo_server.key -out /usr/local/clo_ser.csr
#执行后需要验证上步中key的密码，之后需要填入国家，地区等信息，自定义生成的证书中这些不是很重要，
#重要的是common name，这个是证书需要绑定的域名或者ip地址，填上需要代理的服务器的域名，
#没有域名可以直接填ip

#第一步生成的key是有密码的，如果直接在nginx中使用，nginx启动的时候需要填密码，
#并且可能会报错，所以最好擦除key的密码，通过下面的命令执行：
rsa -in /usr/local/clo_server.key -out /usr/local/clo_ser.key

#之后生成在nginx中使用的crt证书
x509 -req -days 365 -in /usr/local/clo_ser.csr -signkey /usr/local/clo_ser.key -out /usr/local/clo_ser.crt

假设服务器已经安装好nginx，在nginx.conf中添加server，配置nginx反向代理和https：

server {
        # nginx所监听的端口，访问该端口的请求会被转到代理服务器对应的ip和端口，
        # 443是监听https的，在使用https访问的时候可以不带443端口，
        # 而其他端口是需要带的，类似80端口
        listen       8084 ssl; 

        # SSL 证书绑定的域名或者ip，之前生成证书时common name填的ip
        # 之后使用https://192.168.31.181:8084访问时，会被转到proxy_pass，
        # 从而隐藏了真实的服务器信息
        server_name  192.168.31.181; 

        # 下面的key和crt证书是openssl生成的，放到了nginx的conf文件夹
        ssl_certificate     ssl.crt;
        ssl_certificate_key  ssl.key;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers "HIGH:!aNULL:!MD5 or HIGH:!aNULL:!MD5:!3DES";
        ssl_prefer_server_ciphers on;

        #error_page   500 502 503 504  /50x.html;



        location / {
            proxy_pass http://192.168.31.181:8081/;  # 需要转发到的服务地址
            
            # 假设需要传递cookie
	        proxy_cookie_path pathA pathB;#设置cookie path的转换，如果需要的话
            #pathA是目标服务器返回的path，pathB是需要转换的

            # 如果没有设置cookie的domain则不需要下面的配置，否则需要配置
            # A域名是目标服务器返回的set-cookie中domain，B域名是需要转换的domain
            # 之后发给客户端，保证cookie的顺利写入，此时客户端cookie的domain是转换后的
            proxy_cookie_domain A域名 B域名;

            # 下面根据需要配置
            # 做https跳转
    	    proxy_redirect http:// $scheme://; 

            proxy_set_header  Host  $host;#保留代理之前的host
            proxy_set_header  X-Real-IP  $remote_addr;#保留代理之前的真实客户端ip
            proxy_set_header  X-Forwarded-For  $proxy_add_x_forwarded_for;
            proxy_set_header  HTTP_X_FORWARDED_FOR $remote_addr;#在多级代理的情况下，记录每次代理之前的客户端真实ip

        }

      error_page   500 502 503 504  /50x.html;

       location = /50x.html {

            root   html;

        }

    }

之后重新启动nginx即可。

一个非常值得注意的问题：

记得要把nginx需要用到的端口在防火墙中放行，在Linux中要开放用到的端口，在防火墙中添加规则，重启防火墙，刷新规则；在windows中要注意杀毒软件是否限制了防火墙对端口的开放，可以先关闭杀毒软件测试。

如果没有开放nginx所需的端口，那么在访问https链接的时候会显示访问超时。