Nginx(Https) + Tomcat 启用 Https(SSL) 支持

最新推荐文章于 2024-04-11 19:27:08 发布
最新推荐文章于 2024-04-11 19:27:08 发布
阅读量817 收藏
点赞数
分类专栏: https nginx Tomcat 文章标签: tomcat nginx https ssl OpenSSL
Tomcat 同时被 3 个专栏收录
7 篇文章 0 订阅
订阅专栏
https
4 篇文章 0 订阅
订阅专栏
nginx
1 篇文章 0 订阅
订阅专栏

   在搭建之前我们先了解一些https相关的名词:

   TLS:传输层安全协议 Transport Layer Security的缩写
   SSL:安全套接字层 Secure Socket Layer的缩写
   TLS与SSL对于不是专业搞安全的开发人员来讲,可以认为是差不多的,这二者是并列关系,详细差异见 http://kb.cnblogs.com/page/197396/
    KEY 通常指私钥。
   CSR 是Certificate Signing Request的缩写,即证书签名请求,这不是证书,可以简单理解成公钥,生成证书时要把这个提交给权威的证书颁发机构。
   CRT 即 certificate的缩写,即证书。
   X.509 是一种证书格式.对X.509证书来说,认证者总是CA或由CA指定的人,一份X.509证书是一些标准字段的集合,这些字段包含有关用户或设备及其相应公钥的信息。
   X.509的证书文件,一般以.crt结尾,根据该文件的内容编码格式,可以分为以下二种格式:
   PEM - Privacy Enhanced Mail,打开看文本格式,以"-----BEGIN..."开头, "-----END..."结尾,内容是BASE64编码.Apache和*NIX服务器偏向于使用这种编码格式.

   DER - Distinguished Encoding Rules,打开看是二进制格式,不可读.Java和Windows服务器偏向于使用这种编码格式

    OpenSSL 相当于SSL的一个实现,如果把SSL规范看成OO中的接口,那么OpenSSL则认为是接口的实现。接口规范本身是安全没问题的,但是具体实现可能会有不完善的地方,比如之前的"心脏出血"漏洞,就是OpenSSL中的一个bug.

   参考地址:https://www.cnblogs.com/lan1x/p/5872915.html

    针对nginx搭载tomcat做负载均衡环境下启用https方案,网上很多解决方案是在nginx和tomcat版本两边同时启用https支持,这个比较麻烦,我在想能不能nginx启用https,而tomcat不启用?

     经过一段时间搜索,终于找到了一种解决方案,大家可以参考下,亲测可用:

方案:浏览器和 Nginx 之间走的 HTTPS 通讯,而 Nginx 到 Tomcat 通过 proxy_pass 走的是普通 HTTP 连接。

    下面是详细的配置(Nginx 端口 80/443,Tomcat 的端口 8080):

 nginx的nginx.conf配置:

upstream tomcat {
    server 127.0.0.1:8080 fail_timeout=0;
}
 
# HTTPS server
server {
    listen       443 ssl;
    server_name  localhost;
 
    ssl_certificate      /Users/winterlau/Desktop/SSL/oschina.bundle.crt;
    ssl_certificate_key  /Users/winterlau/Desktop/SSL/oschina.key;
 
    ssl_session_cache    shared:SSL:1m;
    ssl_session_timeout  5m;
 
    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers  on;
 
    location / {
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $http_host;
        proxy_set_header X-Forwarded-Proto https;
        proxy_redirect off;
        proxy_connect_timeout      240;
        proxy_send_timeout         240;
        proxy_read_timeout         240;
        # note, there is not SSL here! plain HTTP is used
        proxy_pass http://tomcat;
    }
}

关键说明:

ssl_certificate 和 ssl_certificate_key 这两项配置服务器https证书。

proxy_set_header X-Forwarded-Proto https:正确地识别实际用户发出的协议是 http 还是 https

tomcat的配置文件server.xml:

<?xml version='1.0' encoding='utf-8'?>
<Server port="8005" shutdown="SHUTDOWN">
  <Service name="Catalina">
    <Connector port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="443"
               proxyPort="443"/>
 
    <Engine name="Catalina" defaultHost="localhost">
 
      <Host name="localhost"  appBase="webapps"
            unpackWARs="true" autoDeploy="true">
      <!--这里Host的name要与nginx配置文件里的server_name保持一致-->  

 <Valve className="org.apache.catalina.valves.RemoteIpValve"
                  remoteIpHeader="x-forwarded-for"
                  remoteIpProxiesHeader="x-forwarded-by"
                  protocolHeader="x-forwarded-proto"
            />
            <Context path="" docBase="/oschina/webapp" reloadable="false"/>
      </Host>
    </Engine>
  </Service>
</Server>

特别特别注意的是必须有 proxyPort="443",这是整篇文章的关键,当然 redirectPort 也必须是 443。同时 <Value> 节点的配置也非常重要,否则你在 Tomcat 中的应用在读取 getScheme() 方法以及在 web.xml 中配置的一些安全策略会不起作用


参考文章:SSL证书与Https应用部署小结 

参考文章: Nginx + Tomcat + HTTPS 配置原来不需要在 Tomcat 上启用 SSL 支持




Mrs陶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TomcatNginx配置https
qq_42599735的博客
06-22 658
产品关于HTTPS的配置 Tomcat版本:apache-tomcat-9.0.44 测试时,Tomcat使用的证书是JDK中的keytool工具生成的自签名证书 JDK版本:JDK-11.0.10 Nginx版本:1.19.9 测试时,Nginx使用的证书由OpenSSL生成,需要先安装OpenSSL,Linux使用yum安装(Redhat)或apt安装(Ubantu),windows安装后续说明。 Tomcat配置https 首先确保本地有jdk的环境,可以使用java -version
五、Nginx|Tomcat 配置 https
骑士梦的博客
06-22 3733
一、Nginx 配置 https 二、Tomcat 配置 https 三、阿里云 SSL证书申请 四、东方通 配置 https
nginx通过https+域名访问tomcat后台接口
最新发布
qq_37559701的博客
04-11 347
然后重启nginx即可(进入 /usr/local/nginx/sbin,运行./nginx 或./nginx -s reload进行重启)目标:通过nginx配置,实现通过https+域名访问springboot部署的tomcat接口。3、将解压后的文件上传至服务器中 /etc/ssl/certs 目录下。1、首先申请证书,下载适用于ngxin版本的证书(.PEM格式)(1)监听80端口,并修改服务名为域名信息。4、修改nginx.conf文件。附完整.conf文件。(2)监听443端口。
简单配置搞定 Nginx + Tomcat + HTTPS
newtelcom的专栏
03-02 5499
https://www.91ri.org/11896.html 之前在网上搜索到的很多文章在描述 Nginx + Tomcat 启用 HTTPS 支持的时候,都必须在 NginxTomcat 两边同时配置 SSL 支持。但我一直在想为什么就不能按照下面的方式来配置呢?就是 Nginx启用HTTPS,而 NginxTomcat 之间走的却是普通的 HTTP 连接。但是搜
nginx + tomcat + https 配置
石头
03-05 429
一:nginx 配置https (1)#生成私钥 #openssl genrsa -des3 -out server.key 1024 (2)#生成证书请求文件 #openssl req -new -key server.key -out server.csr 输出内容为: Enter pass phrase for root.key: ← 输入前面创建的密码 Countr...
Tomcat+Https+Nginx
青龙小码农
08-13 242
命令介绍 • -genkey 在用户主目录中创建一个默认文件”.keystore”,还会产生一个mykey的别名,mykey中包含用户的公钥、私钥和证书(在没有指定生成位置的情况下,keystore会存在用户系统默认目录) 注:-genkey可以写成-genkeypair • -alias 产生别名 每个keystore都关联这一个独一无二的alias,这个alias通常不区分大小写 • -key...
Nginx+Tomcat+Https 服务器负载均衡配置实践方案详解
09-30
解压Nginx 1.10.1的安装包,运行`./configure`命令进行配置,包括启用HTTPS支持、静态GZIP压缩和状态模块。接着,执行`make`和`make install`来编译和安装Nginx。配置Nginx的主配置文件`/usr/local/nginx/conf/nginx...
java的web项目的war包实现nginx+tomcat+https的快速和安全的配置
04-22
"java web项目的war包实现nginx+tomcat+https的快速和安全的配置" 本资源主要讲述了如何将 Java 开发的 war 包部署到 Linux 服务器上,并使用 NginxTomcat 实现负载均衡和 HTTPS 访问,同时支持 IPv6 网络的...
4 lvs+keepalived+nginx+tomcat实现高性能负载均衡集群.docx
06-22
Nginx支持HTTP、HTTPS以及TCP协议,可以通过配置stream模块处理TCP流量。在本文档中,Nginx被配置了几个关键模块,包括: - `http_stub_status_module`:提供状态监控接口,可以查看Nginx的工作状态。 - `...
Nginx+Tomcat的服务器端环境配置详解
09-30
在构建高性能的Java Web应用服务器环境中,NginxTomcat的结合是一种常见的选择。Nginx以其高效的静态资源处理能力和反向代理功能,常被用作前端服务器,而Tomcat作为Java应用服务器,负责处理动态请求。以下是关于...
nginx+tomcat单个域名及多个域名配置教程
09-30
在生产环境中,通常会启用HTTPS,因此需要配置SSL证书,并将`listen`指令更改为`443 ssl`,同时导入证书和私钥文件。 8. **监控与日志** `access_log`指令用于记录访问日志,这对于分析流量和排查问题非常有用。...
nginx+tomcat8 ssl使用https访问
06-10
NULL 博文链接:https://youngbrick.iteye.com/blog/2336806
Nginx + Tomcat 8.5 启用SSL HTTPS
我就是我不一样的美男子!
12-28 3421
一、申请SSL证书 阿里云申请证书   图文教程:http://www.chinaz.com/web/2017/0105/639110.shtml 腾讯云申请证书 二、Nginx 配置SSL server { listen 443; server_name localhost; s
Nginx + Tomcat + HTTPS极速配置
AllenRen的博客
04-30 2万+
由于最近在学习微信小程序开发,所以在阿里云申请了一个免费的https证书,这个证书申请起来十分简单,大约十几分钟就好。所以不再赘述. 更多信息可以访问我的个人网站:https://www.cjluzzl.cn 进入下载证书页面 把证书上传到服务器,假设你的证书是abc.pem和abc.key,我这里放到/etc/nginx/cert文件夹下了,cert文件夹是我自己创建的,使用m
nginxtomcat的 配置SSL证书
天高任鸟飞
04-18 2033
说明 证书可以使用阿里云的免费证书 配置SSL便可使用https安全访问 一、nginx server { listen 443; server_name 域名或二级域名; ssl on; #root html; #index index.html index.htm; ssl_certificate /usr/local/nginx/cert/证书.p...
nginx之proxy_pass代理后端https请求完全拆解
weixin_34278190的博客
08-19 2170
2019独角兽企业重金招聘Python工程师标准>>> ...
Nginx+Tomcat+SSL 识别 https还是http
踏歌行的专栏
07-08 1万+
原文出处:SSL证书与Https应用部署小结 实际上,大规模的网站都有很多台Web服务器和应用服务器组成,用户的请求可能是经由 Varnish、HAProxy、Nginx之后才到应用服务器,中间有好几层。而中小规模的典型部署常见的是 Nginx+Tomcat 这种两层配置,而Tomcat 会多于一台,Nginx 作为静态文件处理和负载均衡。 如果Nginx
同时使用nginxtomcat的基本配置
热门推荐
martsforever的博客
08-29 2万+
测试环境:centos6.5、jdk.8、tomcat8、nginx1.12.1,本文适用于熟悉Linux基本操作的同学。 要同时使用nginx,需要安装jdk、tomcatnginx,首先是安装jdk,已经熟悉在Linux上安装jdk的同学可以直接跳过这一段。 由于时间比较紧,就不详细说明每一步所执行的命令了; 安装jdk   首先将jdk的tar.gz包解压,将解压之后的文件夹移动...
keepalived+nginx+tomcat+redis+mysql
08-25
对于您提到的keepalived、nginxtomcat、redis和mysql,这些是常用于构建高可用和负载均衡的Web应用架构的关键组件。 1. Keepalived:Keepalived是一种开源的高可用解决方案,可以提供IP地址和服务的故障转移。它...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值