nginx ssL +tomcat实现https

参考

http://ntxjxp.blog.51cto.com/11279216/1766579

http://www.cnblogs.com/bass6/p/6228902.html

http://szcto.blog.51cto.com/2463527/1891867

原理

X-Forwarded-Proto 就是为了正确地识别实际服务发出的协议是 http 还是 https，就比如上图表示的就是本地所有的服务发出的协议都是https，那么接下来的

思路也很明确，就是tomcat上的服务也接受https

在生产环境中，可以能有特殊的情况，如要保持原有端口生效的情况下，并443端口生效。我公司开始用的 haproxy做反向代理，后来用nginx 配https，便 443端口生效。也就是同时开启原有的haproxy使原有的端口生效，ngix配的https的443端口同时也生效。也就是不同的端口代理到后端相同的端口。这样就能兼容原有端口的同时，也兼容了443端口。

配置

nginx的配置文件

1

<span style = "font-size:18px;" >server {<br>listen  443 ; server_name localhost;<br>ssl on;<br>root html;<br>index index.html index.htm;<br>ssl_certificate   磁盘目录 / 订单号.pem;<br>ssl_certificate_key  磁盘目录 / 订单号.key;<br>ssl_session_timeout  5m ;<br>ssl_protocols TLSv1 TLSv1. 1  TLSv1. 2 ;<br>ssl_ciphers AESGCM: ALL :!DH:!EXPORT:!RC4: + HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;<br>ssl_prefer_server_ciphers on;<br>location  /  {<br>root html;<br>index index.html index.htm;<br>}<br>}<br><br>< / span>

tomcat的server.xml配置

proxyPort代理端口配置443，是接受来自（1）里发来的https前提，当然如果某同学涉及到redis的话，也需要将redistport改成443，道理一样。接下来就是

Valve模块，此模块只能存在一个，想当初我配了2个，这都是泪啊，此处为标准安全策略配置，格外注意portocolHeader的值，你比对比对就知道什么意思了

nginx+tomcat配置完成。

apache 配置文档

安装证书
( 1 ) 打开 apache 安装目录下 conf 目录中的 httpd.conf 文件，找到

#LoadModule ssl_module modules/mod_ssl.so (如果找不到请确认是否编译过 openssl 插件)
#Include conf/extra/httpd_ssl.conf

( 2 ) 打开 apache 安装目录下 conf/extra 目录中的 httpd-ssl.conf 文件 ( 注释:yum 安装配置目录：conf.d/ssl.confubuntu/apache2 安装目录:conf/sites-enabled/*.conf )， 在配置文件中查找以下配置语句:

·添加 SSL 协议支持语句,关闭不安全的协议和加密套件
SSLProtocol all -SSLv2 -SSLv3
·修改加密套件如下
SSLCipherSuite AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;
·将服务器证书公钥配置到该路径下(在 conf 目录下创建 ssl 目录,将 for Apache 里面的三 个证书文件拷贝到 ssl 目录下)
SSLCertificateFile conf/ssl/public.pem (证书公钥)
·将服务器证书私钥配置到该路径下
SSLCertificateKeyFile conf/ssl/订单号.key (证书私钥)
·将服务器证书链配置到该路径下
SSLCertificateChainFile conf/ssl/chain.pem (证书链)删除行首的“#”号注释符

保存退出。
( 3 ) 重启 Apache。重启方式：进入 Apache 安装目录下的 bin 目录,运行如下命令 ./apachectl -k stop./apachectl -k start

tomcat配置文档

安装证书
Tomcat支持JKS格式证书，从Tomcat7开始也支持PFX格式证书，两种证书格式任选其一。下载包中包含PFX格式证书和密码文件。1、PFX证书安装

找到安装 Tomcat 目录下该文件server.xml,一般默认路径都是在 conf 文件夹中。找到 <Connection port="8443" 标签，增加如下属性：

keystoreFile="/你的磁盘目录/订单号.pfx"keystoreType="PKCS12"keystorePass="证书密码"完整的配置如下，其中port属性根据实际情况修改：<Connector port="8443" protocol="HTTP/1.1"
    maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
    keystoreFile="/你的磁盘目录/订单号.pfx"
    keystoreType="PKCS12"
    keystorePass="证书密码"
    sslEnabledProtocols="TLSv1"
    clientAuth="false" sslProtocol="TLS" />2、JKS证书安装
( 1 ) 使用java jdk将PFX格式证书转换为JKS格式证书(windows环境注意在%JAVA_HOME%/jdk/bin目录下执行)

keytool -importkeystore -srckeystore 订单号.pfx -destkeystore your-name.jks -srcstoretype PKCS12 -deststoretype JKS

回车后输入一次PFX证书密码，然后输入两次要设置的JKS证书密码，并牢记此证书密码。
( 2 ) 找到安装 Tomcat 目录下该文件Server.xml,一般默认路径都是在 conf 文件夹中。找到 <Connection port="8443" 标签，增加如下属性：

keystoreFile="/你的磁盘目录/your-name.jks"keystorePass="证书解压密码"完整的配置如下，其中port属性根据实际情况修改：<Connector port="8443" protocol="HTTP/1.1"
    maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
    keystoreFile="/你的磁盘目录/your-name.jks"
    keystorePass="证书解压密码"
    clientAuth="false" sslProtocol="TLS" />( 注意:不要直接拷贝所有配置,只需添加 keystoreFile,keystorePass,keystorePass等参数即可，其它参数请根据自己的实际情况修改 )

注意点

这时候，你就可以打开浏览器访问一下试试了。正常情况 HTTPS 请求是打不开的，因为我们还没设置防火墙，记得要开放443端口！，嗯，设置过防火墙就可以正常访问了吧。

其实到这里，这个服务器支持 HTTPS 请求流程已经结束了，但是你发现好多人在浏览器地址栏输入域名的时候都不输入http://或https://的，因为浏览器会自动帮我们加上http://的，所以，这时候输入我们刚刚设置的域名其实还是没有走https://请求,那怎么让就是输入http://也走HTTPS呢？

很简单，Nginx 中这样配置就行啦！

server {    listen  80;    server_name  www.domain.com;    rewrite ^(.*)$  https://$host$1 permanent;
}

我们利用rewrite来做跳转。监听到80端口的 HTTP 请求后，就转发到 HTTPS ，当然还有好多处理方式。

本文转自 liqius 51CTO博客，原文链接：http://blog.51cto.com/szgb17/1946831，如需转载请自行联系原作者