Nginx + Tomcat 使用Let's Encrypt 搭建HTTPS

最新推荐文章于 2020-07-16 20:39:10 发布
最新推荐文章于 2020-07-16 20:39:10 发布
阅读量1.4k 收藏
点赞数 2
分类专栏: nginx https 文章标签: https nginx tomcat let's encrypt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/licaomengRICE/article/details/79739200
版权

最近把公司的微信公众号,从HTTP升级到了HTTPS,过程还是非常坎坷的,参考了不少的文章,也踩过很多坑,所以这里想和大家分享一下。

如果有同学也是使用Nginx +Tomcat,或许这篇文章可以会帮上你大忙哦。

刚开始使用Openssl制作证书,但是制作证书完成后发现不受信任,就像下面这样:

Openssl制作证书可以参考下面两篇文章:

https://segmentfault.com/a/1190000004976222(Linux)

http://www.cnblogs.com/vincent-li666/p/5851463.html(Windows)

如果要消除这种状况,就必须向CA申请,这个一般是要收费的。还好,有免费的CA,也就是我们今天的主角,Let's Encrypt.

Linux:

1. 下载 certbot

1. $ git clone https://github.com/certbot/certbot

2. $ cd certbot

3. $ ./certbot-auto --help

2. 生成免费证书

./certbot-auto certonly --webroot --agree-tos -v -t --email 邮箱地址 -w 网站根目录 -d 网站域名
./certbot-auto certonly --webroot --agree-tos -v -t --email keeliizhou@gmail.com -w /path/to/your/web/root -d note.crazy4code.com

注意这里 默认会自动生成 /网站根目录/.well-known/acme-challenge,然后 shell 脚本会对应的访问 网站域名/.well-known/acme-challenge

如果返回正常就确认了你对这个网站的所有权,就能顺利生成

3. 获取证书

如果上面的步骤正常 shell 脚本会展示如下信息:

- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/网站域名/fullchain.pem

4. 生成 dhparams

使用 openssl 工具生成dhparams

openssl dhparam -out /etc/ssl/certs/dhparams.pem 2048

5. 配置 Nginx

打开 nginx server 配置文件加入如下设置:

listen       443 ssl;
ssl_certificate/etc/letsencrypt/live/网站域名/fullchain.pem;
ssl_certificate_key/etc/letsencrypt/live/网站域名/privkey.pem;
ssl_dhparam/etc/ssl/certs/dhparams.pem;
ssl_protocolsSSLv3TLSv1TLSv1.1TLSv1.2;
ssl_ciphersHIGH:!aNULL:!MD5;
location / {
    proxy_pass **Tomcat Server**         
}

然后重启 nginx 服务就可以了

参考:

https://zhuanlan.zhihu.com/p/21286171

http://mp.weixin.qq.com/s/vxRpZU6DNoewrQZLDW7YDA (通配符证书,一键子域名开启 HTTPS)


Windows:

1. 下载Let's Encrypt Windows认证客户端

http://files.cnblogs.com/files/teamblog/letsencrypt-win-simple.V1.9.1.zip

2. 解压缩,打开letsencrypt.exe

3. 设置提醒邮箱

4. Y同意条

5. M方式认

6. 在你想要上https的域名的后台文件里,加入对"/.well-known/acme-challenge/*"形式访问的处理

7.  输入你想转为https的域名

8. 验证文件的域名(如果用我的代码,就还输入你的域名就行,验证原理是访问你输入的值+/.well-known/acme-challenge/+生成的随机码)

9. 证书到这里就生成成功

10. 由于Let's Encrypt是免费的SSL证书,90天就过期了,需要再次认证,贴心的Let's Encrypt客户端程序会自动帮你生成验证脚本,不要关闭窗口,继续往下走就行

11. 确认帮你创建定时任务(不确定的话90天后SSL证书过期,就不是https)

12. 输入该计算机(服务器)的管理员帐号密

13. 证书部分完成,可以关闭该窗口

14. 找到生成的证书文件,默认路径在 C:\Users\Administrator\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org\主要使用如下两个文件:

XXX-chain.pem

XXX-key.pem

15. 配置Nginx:

server {
        listen       443 ssl;
        server_name  localhost;
        ssl_certificate      XXX-chain.pem;
        ssl_certificate_key  XXX-key.pem;
        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;
        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;
        location / {
                proxy_pass **Tomcat Server**         
        }
}

重启Nginx,大功告

参考:

https://www.cnblogs.com/blog5277/p/6375473.html

https://www.cnblogs.com/teamblog/p/6219204.html

Nginx(HTTPS) + Tomcat(HTTP)

是不是很开心?但是到这里还没有完,我们搭建的是Nginx +Tomcat

如果Nginx变成了https,而Tomcat依然使用http的话,你仍然无法正常访问,会出现:

Provisional headers are shown

不过也很简单,只需要修改一下Tomcat的server.xml文件就可以,修改connection如下:

<Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="443"  proxyPort="443"/>

参考:

https://www.oschina.net/question/12_213459

至此,全部搞定!







licaomengRICE
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Tomcat 9 + Let's encrypt 免费 SSL 升级 https
anukram的博客
10-08 3871
环境:linux-ubuntu 14.04 tomcat 9 jdk8 获取 Let’s Encrypt 免费 SSL 证书(免费证书三个月有效期,可用脚本自动续期)
centos7 nginx+tomcat配置https 安装免费SSL Let’s Encrypt
古今来色色形形无非是戏,天地间奇奇怪怪何必认真.
12-26 1575
1、centos7 没有安装git 下面命令安装Gityum -y install git bc epel-release2、下载Let’s Encryptgit clone https://github.com/letsencrypt/letsencrypt3、生成证书 邮箱 例如:1234@qq.com 申请的域名:例如: baidu.com./letsencrypt-auto certon
centos7配置nginx使用let’s Encrypt证书
lin252552的博客
05-02 1881
let’s Encrypt提供的免费的ssl证书申请流程已经非常简便,使用度也非常高。证书的申请方法有很多中,这里记录最简单的一种。let’s Encrypt免费证书有效期90天,续用更新会相应减少期限,各种续期提醒会准时发送邮件到域名配置的邮箱流程及注意:有些let’s Encrypt证书安装方法需要用到python2.7及以上,centos6默认是python2.6版本,需要做相应升级。cen...
使用let‘s encrypt SSL证书 并在 tomcat9中进行配置
dyb2010fly的专栏
07-16 569
一:从获取let's encrypt获取证书: 使用:acme.sh 1: curl https://get.acme.sh | sh 2: source ~/.bashrc 3:以阿里云dns 为例 阿里云获取key secret 地址 (其他域名提供商 看 dnsapi 文档) #替换阿里云密钥 export Ali_Key="key" export Ali_Secret="secret" #将example.com换成自己的域名 acme.sh --issue --dns dn.
使用Let's Encrypt+tomcat实现http升级为https
shenxiaomo1688的博客
10-18 494
转载自https://blog.csdn.net/lyq8479/article/details/79022888,在实践中将自己遇到的问题,也一并列出,方便后面的人少走弯路,我的服务器是centos tomcat 是7.0.57版本的,事实证明也是可以的 近几年,在浏览器厂商的强力推动下,HTTPS使用率大增。据统计,Firefox加载的网页中启用HTTPS的占比为67%,谷歌搜索结果中HTT...
guacamole-install-rhel-7:用于RHEL 7和CentOS 7的Apache Guacamole安装bash脚本,包括NginxHTTPS,SSL,LDAP,Let's Encrypt证书等选项
02-03
3. **Let's Encrypt证书**:Let's Encrypt是一个免费、自动化、开放的证书颁发机构,提供HTTPS证书,帮助网站实现加密连接。脚本可能包含自动申请和更新Let's Encrypt证书的流程。 4. **LDAP**:Lightweight ...
Apache+tomcat+ssl配置+相关插件
09-29
此外,还有一些工具和插件可以帮助管理SSL证书,例如Certbot,它可以自动化获取和安装Let's Encrypt提供的免费SSL证书。对于大型环境,可能还需要使用负载均衡器,如Nginx,来分发SSL终止和请求转发。 总的来说,...
SSL证书部署Apache服务器、IIS服务器、Nginx服务器、Tomcat服务器文档
02-25
- **获取SSL证书**:首先,你需要从受信任的证书颁发机构(如Let's Encrypt、GlobalSign或Comodo)申请并获取SSL证书。 - **配置SSL**:编辑`httpd.conf`或`apache2.conf`配置文件,启用SSL模块,并配置虚拟主机。...
tomcat 快速实现https访问(Linux)
03-18
你可以使用Let's Encrypt等免费的CA,或者购买商业证书。 6. **考虑使用Nginx或Apache作为反向代理**:在某些情况下,为了更好的性能和灵活性,可以配置Nginx或Apache作为反向代理,它们可以处理SSL终止,然后再将...
window的letsencrpt配置工具
10-26
标题中的“window的letsencrpt配置工具”指的是在Windows操作系统上使用Let's Encrypt证书来实现HTTPS加密的工具。Let's Encrypt是一个免费、自动化且开放的证书颁发机构,它提供了一种简单的方法来获取和安装SSL/...
Let's Encrypt申请免费SSL证书(Windows环境+Tomcat+Java)
ylf尘风的博客
04-10 913
工具: 1、下载letsencrypt-win-simple.V1.9.1.zip http://files.cnblogs.com/files/teamblog/letsencrypt-win-simple.V1.9.1.zip 2、沃通代码签名工具(用于转换为JKS格式) https://www.wosign.com/marketing/2015_WoSign_sign_tools/i...
Let's Encrypt免费SSL证书的申请及使用-Windows-Tomcat
我的博客
08-21 8895
官方网站:https://letsencrypt.org/ 运行环境:      操作系统: windows server 2012 R2      JAVA: jdk1.7.0_17      Tomcat: Tomcat 7 笔者使用的是一台 windows 测试机,上面单独运行的 Tomcat  并且已完成域名解析。 1,下载Let's Encrypt Windows认证客户端 ...
tomcat9+nginx配置letsencrypt免费证书
HJFQC的博客
05-28 772
环境 Centos7 + jdk1.8 + tomcat9 +nginx 首先需要安装Git 如果有可以忽略这一步 yum install git 通过git获取letsencrypt git clone https://github.com/certbot/certbot.git 进入letsencrypt目录 cd certbot-master 这里可以通过...
Centos + Tomcat 9 + Let's encrypt 免费 SSL 升级 https(遇到的问题)
glj233的专栏
07-20 889
升级环境:Tomcat可以正常使用 centos6.5 Java1.8 Tomcat9   1.  获取 Let’s Encrypt 免费 SSL 证书 # 在当前目录下 新建 ssl 目录 $ mkdir ssl $ cd ssl # 从github 网站下载 letsencrypt $ git clone https://github.com/letsencrypt/lets...
配置https服务器系列之三:windows服务器配置letsencrypt证书,多子域名配置
壁立千仞无欲则刚的博客
11-29 8974
之前写了一篇“配置https服务器系列之二:windows服务器配置letsencrypt证书”,后来发现配置多个子域名会有问题。说说之前的解决方案:简单粗暴的分多次操作分别生成多个证书。这其实也没问题,问题在于:每当操作一次,他的定时自动更新任务就会删除以前所有的任务,只保留最后那个任务。比如你先生成了yourdomain.com,然后生成www.yourdomain.com,最后只有www.y
Nginx-Let's Encrypt配置https
孟孟的博客
11-12 474
Let's Encrypt 如果要启用HTTPS,我们就需要从证书授权机构处获取一个证书,Let’s Encrypt 就是一个证书授权机构。我们可以从 Let’s Encrypt 获得网站域名的免费的证书。 Certbot Certbot是Let’s Encrypt推出的获取证书的客户端,可以让我们免费快速地获取Let’s Encrypt证书。 注意:默认情况下ssl模块并未被安装,...
SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱
热门推荐
hongweibing1的专栏
11-21 1万+
详细描述 安全套接层(Secure Sockets Layer,SSL),一种安全协议,是网景公司(Netscape)在推出Web浏览器首版的同时提出的,目的是为网络通信提供安全及数据完整性。SSL在传输层对网络连接进行加密。传输层安全TLS(Transport Layer Security),IETF对SSL协议标准化(RFC 2246)后的产物,与SSL 3.0差异很小。  当服务
let's Encrypt单个域名续期
qq_36798131的博客
09-19 2655
1、先确定你的域名信息在哪里放着 如果在.acme.sh目录下,则执行./acme.sh --renew -d www.example.com 其中 --renew 意思是更新、续费的意思 -d 后面跟的域名就是你要更新的域名 返回Success则成功 返回Verify error:Invalid response from https://www.example.com/.well-...
tomcat安装let'encrypt
08-07 248
对于访问量不是特别大的话,apache说,tomcat你给我顶上。 纠结了半天。不止半天。不过好在,最终将https解决了。我勒个去。 主要参考文章: 1.https://my.oschina.net/chaon/blog/717902 2.https://medium.com/@ma...
搭建nginx+tomcat具体步骤
最新发布
03-29
以下是在Linux系统上搭建nginxtomcat的具体步骤: 1. 安装nginxtomcat 在Linux系统上使用以下命令安装nginxtomcat: - 安装nginx: ``` sudo apt-get update sudo apt-get install nginx ``` - 安装...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值