NGINX配置TCP转发HTTPS请求,SSL证书装在应用

最新推荐文章于 2024-05-25 07:15:00 发布
最新推荐文章于 2024-05-25 07:15:00 发布
阅读量3.3k 收藏 5
点赞数 2
文章标签: java spring nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/anyibingkuai/article/details/106082384
版权

NGINX配置TCP转发HTTPS请求,SSL证书装在应用

接到个业务,在有负载均衡的http应用上,做https改造.
网上查到的实现,都是使用nginx安装ssl证书,此时的请求实际上是:
用户请求 --https–> nginx --http–> 应用
nginx此时为"7层协议负载均衡",在nginx处已经完成了ssl加密解密

但我这里的实际情况是,负载均衡不是我们管理,无权操作,而公网负载统一使用TCP层协议,即"4层协议负载均衡",ssl证书装在应用上,此时请求是:
用户请求–https-> 4层负载 --https-> 应用

因为没接触过这个方面,在买受信证书前,我用本地环境和自签名证书做了个测试,
该文仅用于记录,参考了一些大神的链接,感谢大佬们分享自己的知识

架构:
java-springboot应用在win10本地,nginx部署到linux虚拟机,https请求从win10本地请求到虚拟机niginx再转发请求到win10本地的java应用.
自签名证书绑定的是虚拟机ip,实际应用中相当于负载均衡所在的公网域名,而证书本身则安装在springboot应用中

以下是实现步骤:

1.自签名证书:
网上购买的受信任证书,绝大部分为仅绑定域名的证书,但是本地测试,域名局限性较大,因此将证书绑定ip是个比较好的选择

(1)使用jdk自带的keytool,生成自签名证书网上教程很多,但绑定ip的话需要一个额外参数-ext san=ip:127.0.0.1,其中127.0.0.1必须是你要绑定的ip,例如我虚拟机的ip地址为192.168.242.133,则下面CN=和san=ip:必须是这个ip

keytool -genkey -alias tomcat133 -keyalg RSA -keysize 1024 -keypass jksjks -storepass jksjks -dname “CN=192.168.242.133,OU=csoa,O=csoa,L=FZ,ST=FZ,C=CN” -ext san=ip:192.168.242.133 -validity 3650 -keystore jks133.keystore

(2)jks转cer(cer才能导入jdk的keystore或导入浏览器)
keytool -exportcert -alias tomcat133 -keystore jks133.keystore -file jks133.cer -rfc

(3)导入jdk的keystore中,无此操作的话,HTTPClient或HTTPUrlConnection会因验证非法而导致调用报错
(另一方法是重写HttpClient或HttpUrlConnection中的一个方法,使得其忽略证书验证,可自行百度,但该行为对代码有侵入行为,且对全体证书都忽略验证,并不推荐)

keytool -import -alias tomcat133 -file “jks133.cer” -keystore “%JAVA_HOME%\jre\lib\security\cacerts” -storepass “changeit”

(4)其他一些辅助指令:
//查看所有证书详细信息
keytool -list -rfc -keystore “%JAVA_HOME%\jre\lib\security\cacerts” -storepass “changeit”

//只查证书别名和指纹签名
keytool -list -keystore “%JAVA_HOME%\jre\lib\security\cacerts” -storepass “changeit”

//从jdk中删除指定别名为tomcat133的证书
keytool -delete -alias tomcat133 “%JAVA_HOME%\jre\lib\security\cacerts” -storepass “changeit”

此时证书已经生成好且加入了本机jdk的keytool,java发起该证书的https请求时会受信任

2.jks证书装入应用springboot应用
这一步很简单,配置一下yml/properties就行了

 ssl:
    key-store: classpath:jks133.keystore
    key-store-type: JKS
    key-store-password: jksjks
    key-alias: tomcat133

3.部署nginx到linux,注意这里有些非默认的安装参数
下载nginx到linux后安装,先说安装完之后的配置:
(1)nginx的配置

stream {
	server {
        	listen  9080;
        	ssl_preread on;
        	proxy_pass 192.168.242.1:8085;
        }
}

以上就能简单实现外部请求到linux-nginx的9080,nginx再将其转发到本地WIN10的8085端口(我的本地win10IP是192.168.242.1,springboot应用是8085端口)
但注意其中有个几个关键点:
stream:{}:实现4层协议负载,这个节点和默认的http:{}节点为同级,后者为7层协议负载
ssl_prepread on;是4层协议负载能够处理HTTPS(SSL)请求,不带这个参数,会提示"你使用了非https接口处理https请求"的错误

由于需要使用以上配置参数,而这里的某些参数并不在nginx默认安装模块中,因此需要指定安装的模块

(2)安装:
解压nginx后,运行
//后面三个模块就是上面配置文件中需要用到的模块,默认不会安装
./configure --with-stream --with-stream_ssl_preread_module --with-stream_ssl_module
//编译
make
//安装
make install

(3)装好之后启动即可
./nginx //(在nginx未处于启动状态的情况下,启动nginx,如果已经处于启动状态,则出错)
./nginx -s quit //此方式停止步骤是待nginx进程处理任务完毕进行停止。
./nginx -s stop //此方式相当于先查出nginx进程id再使用kill命令强制杀掉进程。
ps aux|grep nginx //查询nginx进程
./nginx -t //检测当前nginx配置文件语法是否正确
./nginx -s reload //热重启nginx
//冷重启nginx(先停再启)
./nginx -s quit
./nginx

4.此时整个安装结束,实测可行

参考链接,感谢以下大佬分享自己的东西
链接: https://blog.csdn.net/qin528032307/article/details/78706383.
链接: https://www.jianshu.com/p/25fb46965988.

anyibingkuai
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Linux搭建nginx实现https转发
qq_15993903的博客
09-26 1万+
本文借鉴:阿里云-SSL数字证书Nginx配置部署指导 1.域名 例如:www.aa.com     设置解析地址:指向公网地址 116.116.116.116 2.具有公网环境的linux服务器   例如:116.116.116.116 3.服务器安装nginx,不会的自行学习 4.购买或者去免费的网站生成ssl证书 ,这里推荐一个免费生成ssl证书的网站>freessl.org...
nginx配置+https
12-10
### Nginx 配置HTTPS 实现详解 #### 一、Nginx 简介及配置结构 Nginx 是一个高性能的 HTTP 和反向...此外,通过配置不同的 Server 块,可以灵活地管理多个网站或应用服务,极大地提高了 Nginx 的实用性和灵活性。
nginxTCP流量转发+证书加密
weixin_42327945的博客
03-13 2393
不存在的
学习Nginx(十四):配置SSL/TLS支持HTTPS
Linux技术宅
05-25 1065
学习Nginx(十四):配置SSL/TLS支持HTTPS
nginx配置ssl证书(http转https
lw_zj_ywn的博客
11-08 626
nginx配置ssl证书 阿里云下载好nginxssl证书,上传到服务器 服务器现在安装nginx nginx目录下找到conf.d目录 在该目录下新建一个文件夹(test)用来存放你的ssl证书,然后新建一个conf文件(例:test.conf) server { listen 443; server_name ballblast.wraptech.cn;填写...
Nginx设置TCP上游服务器的SSL配置
YunWisdom
11-22 4081
Nginx设置TCP上游服务器的SSL配置 本文介绍了如何为NGINX Plus和接受TCP连接的负载均衡的服务器组设置SSL 什么是SSL终端 SSL终端意味着NGINX Plus充当与客户端连接的服务器端SSL端点:它执行对请求的解密和对响应的加密,否则后端服务器就必须这样做。该操作称为终止,因为NGINX Plus关闭了客户端连接,并通过新创建的未加密连接将客户端数据转...
nginx实现tcp请求转发
qq_40734572的博客
06-05 1427
nginx实现tcp请求转发
nginx 内网 端口转发 ssl https 配置
博客
07-28 7958
需求 由于资源有限,有多个域名但是只有一台服务器,需要在同一台服务器上部署多个业务,但是访问不受限制,决定使用nginx 根据访问的域名进行进行内部服务转发。 假设有资源 域名test1.com,test2.com 需要运的服务test1,test2 一台服务器 nginx.conf配置 #user nobody; worker_processes 1; #error_log logs/error.log; #error_log logs/error.log notice; erro
Nginx配置Https证书详细过程
09-29
Nginx配置HTTPS证书是指在Nginx服务器上启用SSL/TLS加密协议以保证Web通信的安全。HTTPS是在HTTP基础上加入了SSL层,确保数据传输过程中的加密和身份验证。本文将详细介绍如何在Nginx服务器上配置HTTPS证书,包括...
nginx配置https的方法示例(免费证书)
09-30
NGINX配置HTTPS的方法示例涉及了如何在NGINX服务器上设置SSL证书来启用HTTPS协议。HTTPS是HTTP安全版,通过在HTTP和TCP/IP之间加入SSL/TLS协议层来保护数据传输过程中的安全。通过HTTPS,用户和服务器之间的所有通信...
nginx和tomcat配置SSL和负载均衡配置
04-15
- 在 Apache 的虚拟主机配置中,使用 `mod_jk` 来将请求转发到 Tomcat 服务器: ```apache *:80> ServerName example.com JkMount /* tomcat1 ``` 通过以上步骤,可以实现 Tomcat 的 SSL 加密和负载均衡...
Nginx timeout超时配置详解
01-20
最近项目中用到了nginx,后台用的是Java, 发现有一个请求后台处理操过了1分钟,结果请求Status Code为504 Gateway Time-out. 理解了下nginx 所有timeout相关的配置,如下: keepalive_timeout HTTP 有一个 KeepAlive...
Nginx配置TCP/UDP调度器.doc
07-06
在4层负载均衡(即传输层)中,Nginx通过监听特定端口,接收到客户端的TCP或UDP连接请求后,将这些请求转发到后端服务器,以此实现对多台服务器的流量分配。这有助于提高系统的可用性和性能,避免单点故障,并在高...
nginxTCP方向代理插件
12-16
这个配置中,`listen 80`表示Nginx监听80端口,`location /tcp_proxy`定义了一个处理TCP请求的区域,`tcp_pass`指令将连接转发到`backend_servers`定义的后端服务器。 **启动与验证** 1. 重启Nginx应用新的配置...
Nginx 配置详解.docx
02-05
例如,可以通过配置让所有以 .jpg 结尾的请求转发至专门的图片服务器,而动态页面请求则被转发至 Web 应用服务器。 - **灵活性**:Nginx 支持高级的正则匹配,使得用户可以非常灵活地控制请求转发策略。此外,...
超详细网站博客域名和二级域名、子域名升级HTTPS免费申请SSL证书配置nginx指南.docx
04-26
### 超详细网站博客域名和二级域名、子域名升级HTTPS免费申请SSL证书配置nginx指南 随着互联网技术的快速发展,网络安全成为了不容忽视的关键问题之一。HTTP作为一种基础的网络传输协议,尽管广泛应用于早期的...
nginx转发tls和tcp
Richelieu_的博客
11-01 1396
nginx转发 tcp和tls
nginx证书情况用stream模块反向代理https网站
热门推荐
04-09 1万+
公司研发一般在内网环境下,但是开发时需要调用某些第三方接口。 这时可以用一台服务器做nginx反向代理,然后研发机器修改host文件将域名指向服务器即可实现代理转发。 但是普通的nginx http反向代理代理https时需要配置证书,我们不可能有第三方接口域名的证书,所以要使用nginx 的stream模块。 普通的nginx反向代理时第七层代理,而stream模块是第四层代理,转发的tc...
Nginx 配置使用httpstcp模块
qq_34625907的博客
07-06 233
./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module --with-stream
nginxtcp转发后访问提示Bad Request This combination of host and port requires TLS.
最新发布
06-02
这个问题可能是由于您在使用nginxtcp转发时,将http请求发送到了一个需要TLS加密的网站上导致的。 这种情况下,您需要在nginx配置文件中添加以下内容: ``` stream { server { listen your_server_ip:port; proxy_pass your_backend_server:backend_port; ssl_preread on; } } ``` 这里我们使用了stream模块来进行TCP转发,并且启用了ssl_preread,它会在转发请求之前对请求进行预读取,以便根据需要将请求转发到TLS或非TLS的后端服务器。 如果您仍然遇到问题,您可以检查一下您的后端服务器是否需要TLS加密,或者尝试在nginx配置文件中禁用ssl_preread。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值