BAT大厂HTTPS+Nginx+Tomcat实现原理

先说一下HTTPS的实现原理
首先服务器要生成一个证书，证书包含公钥，同样私钥也在浏览器中
1.client向server发送请求https://baidu.com，然后连接到server的443端口，http连接到server的80端口。
建立连接，完成握手，下面都是建立连接成功之后发生的事情浏览器发送Https请求到淘宝（nginx服务器）握手成功之后，nginx已经会发送证书到浏览器客户端这边。

2.服务端必须要有一套数字证书，可以自己制作，也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过，才可以继续访问，而使用受信任的公司申请的证书则不会弹出提示页面，这套证书其实就是一对公钥和私钥。证书中包含一把公钥。

3.传送证书
这个证书其实就是公钥，只是包含了很多信息，如证书的颁发机构，过期时间、服务端的公钥，第三方证书认证机构(CA)的签名，服务端的域名信息等内容。服务器把证书传送到浏览器，这个时候浏览器已经有证书了（已经有一把公钥了，密钥在服务器）

4.客户端解析证书
这部分工作是由客户端的TLS来完成的，首先会验证公钥是否有效，比如颁发机构，过期时间等等，如果发现异常，则会弹出一个警告框，提示证书存在问题。如果证书没有问题，那么就生成一个随即值（秘钥）。然后用证书对该随机值进行加密。（浏览器生成随机的对称密码，假设随机密码为1234567，使用证书里面的公钥对随机密码进行加密，得到一个加密后的1234567，然后把这个加密的密码传给服务器，服务器通过私钥解密，得到1234567，这样浏览器服务器都有一个密码1234567）

（此前用户只是打开浏览器，并没有做任何操作）

5.传送加密信息
这部分传送的是用证书加密后的秘钥，目的就是让服务端得到这个秘钥，以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了。
如输入用户名密码之后点击提交按钮的时候，使用1234567对用户名和密码对称加密并上传到服务器，服务器通过之前传过来的1234567进行解密。解密得到明文
这里是对称加密，效率高，这也是为什么不用证书的公钥加密，用证书的私钥解密的原因
tomcat服务器处理的数据必须都是明文
6.服务段加密信息
服务端用私钥解密秘密秘钥，得到了客户端传过来的私钥，然后把内容通过该值进行对称加密。

7.传输加密后的信息
这部分信息是服务端用私钥加密后的信息，可以在客户端被还原。

8.客户端解密信息
客户端用之前生成的私钥解密服务端传过来的信息，于是获取了解密后的内容。

BAT大厂HTTPS+Nginx+Tomcat实现原理
想象浏览器的请求在最左边，中间是nginx服务器，最右边是若干个tomcat服务器
因为一台tomcat支持的并发最高不超过700，所以一定是需要很多台tomcat服务器才能支持如双十一的高并发，一台服务器可以安装启动多个tomcat，只需要修改tomcat的端口号即可如第一个tomcat的端口号是8080，第二个tomcat的端口号是8081等等。
如何保证每一台tomcat服务器都能物尽其用，则需要中间的nginx服务器做配置，在Nginx.conf中设置端口监听以及tomcat服务器地址，简单来讲
https的传输距离仅仅是用户浏览器到nginx服务器，https访问到nginx服务器使用的是443端口，则监听443端口，如果有请求则拦截下来转发到配置的tomcat服务器地址，如果有多个地址则根据负载均衡机制进行转发如轮巡等方式，同样也可以同时监听http通过80端口过来的请求。
所以浏览器发送https请求发送到nginx服务器，再由nginx服务器转发到tomcat服务器处理。