1 生成https证书
# (1)生成私钥文件,输入两次密码即可完成
openssl genrsa -des3 -out om_pwd.key 2048
# (2)创建请求证书
openssl req -new -key om_pwd.key -out om_pwd.csr
# (3)创建数字签名证书,x509表示自签名格式
openssl x509 -req -days 365 -in om_pwd.csr -signkey om_pwd.key -out om_pwd.crt
# (4)删除私钥文件中的秘密,替代含有密码的私钥文件,用于启动nginx时不用输入密钥的密码,此步骤可以不要
openssl rsa -in om_pwd.key -out om_no_pwd.key
2 nginx配置信息
2.1 查看是否安装SSL
配置nginx之前查看ssl模块是否安装
# 查看nginx安装的模块,我的nginx版本是1.20.0, 如果出现“--with-http_ssl_module”,表示已经安装了ssl,如果没有请安装
nginx -V
2.2 配置https
# 代理https,nginx版本为1.20.0,此处静态资源不需要再单独配置
server {
listen [::]:443 ssl;
listen 443 ssl;
server_name localhost;
# 配置证书
ssl_certificate /etc/nginx/cert/om_pwd.crt;
ssl_certificate_key /etc/nginx/cert/om_no_pwd.key;
# 配置协议、加密和数字签名
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location /openmeetings/ {
proxy_pass https://172.18.2.201:5443/openmeetings/;
# 配置代理和真实主机
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Nginx-Proxy true;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# 设置hash值
proxy_headers_hash_max_size 512;
proxy_headers_hash_bucket_size 128;
# 设置https协议
proxy_set_header X-Forwarded-Proto https;
# 设置websocket
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
# 关闭重定向
proxy_redirect off;
}
}
2.3 配置http
与配置https作一下对比
# 代理http
server {
listen 80;
listen [::]:80;
server_name localhost;
location / {
root /usr/share/nginx/html;
index index.html index.htm;
}
location /api/ {
# 设置代理服务器
proxy_pass http://172.18.2.102:5000/api/;
# 配置代理和真实主机
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Nginx-Proxy true;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# 关闭重定向
proxy_redirect off;
}
}
3 注意点
3.1 location与proxy_pass的URI尽量保持一致
上述配置“https代理”,location为:“ /openmeetings/” ;proxy_pass为: “https://172.18.2.201:5443/openmeetings/“,一定要让location与proxy_pass中/openmeetings/保持一致。尽量不要用location为:“ /om/” ;proxy_pass为: “https://172.18.2.201:5443/openmeetings/“,如果配置不同,使用“https://localhost/om/”访问一般出现404错误,及其他未知问题。
注意:location和proxy_pass后的“/”,不添加“/”表示最大字符串匹配,访问地址时没有太大问题;不过我建议尽量都加上,表示绝对路经匹配。
3.2 不能使用websocket
如果使用了websocket可以在server中配置以下两个参数:
# 设置websocket
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
3.3 静态资源
使用proxy_pass配置服务器一般不需要再配置静态资源,除非比较特殊的可以重新配置静态资源。