记一次服务器配置https过程

之前配置HTTPS协议都是直接网上找例子照搬，最近配置公司服务器时发现分布式服务配置存在很多问题，于是写一下配置过程，记录一下

分布式系统中大部分会使用到nginx+tomcat实现服务部署及负载均衡，尤其时springboot流行起来后，直接一个jar包放到服务器运行，使用内置tomcat,今天主要就是从一下几个模块开讲。

• nginx配置https
• tomcat配置https
• springboot配置https

首先我们需要了解一下
https和http的区别：
HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此，HTTP协议不适合传输一些敏感信息。
为了解决HTTP协议的这一缺陷，需要使用另一种协议：安全套接字层超文本传输协议HTTPS，为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL/TLS协议，SSL/TLS依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。
HTTPS协议是由SSL/TLS+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比http协议安全
HTTPS协议的主要作用可以分为两种：一种是建立一个信息安全通道，来保证数据传输的安全；另一种就是确认网站的真实性。
主要区别：

• https协议需要到CA申请证书，一般免费证书较少，因而需要一定费用，也可以自己生成，但不安全。
• http是超文本传输协议，信息是明文传输，https则是具有安全性的ssl/tls加密传输协议
• http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443
• http的连接很简单，是无状态的；HTTPS协议是由SSL/TLS+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。

了解了两者的不同，我们就开始今天的主要内容了
考虑到开发环境和部署环境的不同，我们分两步介绍nginx的https配置
1）windows服务器下搭建nginx的https

• 安装OpenSSL
  OpenSSL下载地址
  直接运行安装即可，配置环境变量：
  新增环境变量
  变量名：OPENSSL_HOME
  变量值：C:\OpenSSL-Win64\bin;
  修改Path变量结尾添加一条： %OPENSSL_HOME%

• 安装Nginx(请自行百度，不再介绍)
  nginx官网
  进入到nginx目录下，双击nginx.exe文件即可启动服务器。
  在浏览器地址栏输入http://localhost，如果可以成功访问到Nginx的欢迎界面，则说明安装成功

• 生成证书
  首先在Nginx安装目录中创建ssl文件夹用于存放证书
  执行cmd cd到nginx/config/ssl目录
  创建私钥：openssl genrsa -des3 -out buduhuisi.key 1024 两次输入密码，记住密码，后边会用到

创建csr证书：openssl req -new -key buduhuisi.key -out buduhuisi.csr

去除密码校验：复制buduhuisi.key并重命名为buduhuisi.key.org然后执行命令以去除口令：
openssl rsa -in buduhuisi.key.org -out buduhuisi.key
这里需要输入上边记录的密码了

生成crt证书：openssl x509 -req -days 365 -in buduhuisi.csr -signkey buduhuisi.key -out buduhuisi.crt
至此证书就生成完毕了

• 修改Nginx的nginx.conf配置文件

server {
    listen       443 ssl; #直接放到端口后面可同时使用http和https
    #ssl on; 开启https
    server_name  localhost;

    ssl_certificate      C://nginx//config//ssl//buduhuisi.crt; 
    ssl_certificate_key  C://nginx//config//ssl//buduhuisi.key;

    ssl_session_cache    shared:SSL:1m;
    ssl_session_timeout  5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers  on;

    location / {
      root   html;               
      index  index.html index.htm;  
    }
}

2）liunx服务器下搭建nginx的https（我已安装nginx,所以直接添加模块）

• 安装nginx
  可参考 nginx安装教程
• 监测nginx是否包含ssl模块

#跳转到nginx路径
cd /usr/local/nginx/sbin
#nginx 模块
./nginx -V

• 安装ssl模块

#切换到源码包
cd /usr/local/src/nginx-1.11.3
#重新配置nginx，加载ssl模块
./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module
#重新编译,这里不需要make  install，否则会覆盖安装
make
#备份原有安装的nginx
cp /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.bak
#覆盖新的nginx
cp ./objs/nginx /usr/local/nginx/sbin/ 
#提示是否覆盖，输入Y
#重启nginx 
./nginx
#查看模块信息
./nginx -V

• 生成证书
  创建服务器证书密钥文件 server.key:openssl genrsa -des3 -out server.key 1024
  输入密码，确认密码，自己随便定义，但是要记住，后面会用到

创建服务器证书的申请文件 server.csr:openssl req -new -key server.key -out server.csr
按要求填写信息

备份一份服务器密钥文件：cp server.key server.key.org

去除文件口令：openssl rsa -in server.key.org -out server.key

生成证书文件server.crt：openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

• 修改配置文件

server{
		#比起默认的80 使用了443 默认 是ssl方式  多出default之后的ssl
        listen 443 default ssl; #default 可省略
		#开启  如果把ssl on；这行去掉，ssl写在443端口后面。这样http和https的链接都可以用
        ssl on;
		#证书(公钥.发送到客户端的)
        ssl_certificate ssl/server.crt;
        ssl_certificate_key ssl/server.key;
        server_name www.daj.com;
        location / {
        	proxy_redirect off;
			proxy_pass https://www.tao.com/;  
        }       
}

有时候我们的服务是nginx+tomcat的，所以我们需要开启tomcat对https的支持，当然也可以直接配置证书到tomcat开启服务的https
开启tomcat的https支持：
（1）Connector节点加入 redirectPort="443" proxyPort="443" //结合实际业务
（2）加入新的Value节点

<Valve className="org.apache.catalina.valves.RemoteIpValve"
	remoteIpHeader="x-forwarded-for"
	remoteIpProxiesHeader="x-forwarded-by"
	protocolHeader="x-forwarded-proto"/>

至此nginx配置https完成

接下来我们来实现tomcat服务器的https配置

• 生成证书（使用jdk生成，免费）
  (1)在jdk的安装目录\bin\keytool.exe下打开keytool.exe

  (2)执行命令：keytool -genkeypair -alias "tomcat" -keyalg "RSA" -keystore "g:\tomcat.keystore"

  (3）按要求填写对应信息后执行完毕，到指定目录查找证书文件

• 修改tomcat服务器配置server.xml
  定位到tomcat服务器的安装目录, 找到conf下的server.xml文件，修改端口配置

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"  
               maxThreads="150" scheme="https" secure="true"  
               clientAuth="false" sslProtocol="TLS"   
        keystoreFile="g:\tomcat.keystore"  
        keystorePass="123456" /> 

• 重启tomcat,访问https://localhost:8443/

至此tomcat配置https完成

最后一块内容，修改springboot的内置服务器使用https

• 证书创建直接参考上述tomcat证书的生成流程
• 修改配置application.yml

server.port=8083
server.ssl.key-store=server.keystore //证书位置
server.ssl.key-alias=tomcat
server.ssl.enabled=true
server.ssl.key-store-password=123456
server.ssl.key-store-type=JKS

证书可以放在绝对路径也可以放到系统的根路径下

• 配置http访问自动转https访问（可以不做，同时支持http和https请求）
  向spring容器中注入两个Bean,代码如下

 @Bean
    public Connector connector(){
        Connector connector=new Connector("org.apache.coyote.http11.Http11NioProtocol");
        connector.setScheme("http");
        connector.setPort(80);
        connector.setSecure(false);
        connector.setRedirectPort(443);
        return connector;
    }

    @Bean
    public TomcatServletWebServerFactory tomcatServletWebServerFactory(Connector connector){
        TomcatServletWebServerFactory tomcat=new TomcatServletWebServerFactory(){
            @Override
            protected void postProcessContext(Context context) {
                SecurityConstraint securityConstraint=new SecurityConstraint();
                securityConstraint.setUserConstraint("CONFIDENTIAL");
                SecurityCollection collection=new SecurityCollection();
                collection.addPattern("/*");
                securityConstraint.addCollection(collection);
                context.addConstraint(securityConstraint);
            }
        };
        tomcat.addAdditionalTomcatConnectors(connector);
        return tomcat;
    }