(九)keycloak使用nginx来配置https

已于 2023-06-15 10:03:41 修改
阅读量1.3k 收藏
点赞数 1
文章标签: nginx 服务器 ssl
于 2023-06-13 11:37:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wjssbp/article/details/131184797
版权

系列目录

(一)keycloak 部署运行及源码打包
(二)keycloak 配置运行
(三)keycloak 基于SpringBoot、Servlet的客户端开发
(四)keycloak 自定义用户(SPI)开发
(五)keycloak 自定义主题
(未完成)(六)keycloak 添加登录验证码功能
(七)keycloak 设置客户端访问类型 bearer-only
(八)keycloak 设置客户端访问类型 confidential
(九)keycloak使用nginx来配置https

文章目录

前言

keycloak配置https有两种方式:

  • 直接在keycloak.conf中配置
  • 使用代理服务器配置,如nginx

因为还要同时配置其他应用服务,我们直接使用了nginx代理配置https,同时保留http访问

1.生成https需要的ssl证书

ssl证书生成也有很多种方式,可以直接免费的ssl商来生成,也可以自定义生成。

本篇教程主要使用openssl工具来生成自定义的证书

1.1 生成服务器端私钥

openssl genrsa -out /opt/server.key 2048

1.2 生成服务器端公钥

openssl rsa -in /opt/server.key -pubout -out /opt/server.pem

1.3 生成CA证书

openssl genrsa -out /opt/ca.key 2048
openssl req -new -key /opt/ca.key -out /opt/ca.csr

这个命令执行的时候注意下:

Common Name 这一项请填写你的域名

openssl x509 -req -in /opt/ca.csr -signkey /opt/ca.key -out /opt/ca.crt -days 3650

1.4 生成服务器证书

openssl req -new -key /opt/server.key -out /opt/server.csr

同样要注意 Common Name 这一项请填写你的域名

颁发证书

openssl x509 -req -CA /opt/ca.crt -CAkey /opt/ca.key -CAcreateserial -in /opt/server.csr -out /opt/server.crt -days 3650

1.5 生成cer文件

openssl x509 -in /opt/server.crt -out /opt/server.cer -outform der -days 3650

2.配置nginx

将生成的 servert.crt server.key 这两个文件配置到nginx中,我是直接将这两个文件复制到了nginx的配置文件目录,配置如下:

server {
    listen 8080;
    listen 443 ssl;
    server_name localhost,192.168.100.10;
   
    # 证书路径
    ssl_certificate csr.pem;
    ssl_certificate_key csr-key.pem;
    ssl_session_timeout 5m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
 
    # 以下配置为公共配置
    proxy_set_header Host $host:$server_port;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header REMOTE-HOST $remote_addr;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_set_header X-Forwarded-Port $server_port;
    # 页面引用的文件转到https的关键配置
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_redirect http:// $scheme://;
 
    # keycloak的代理地址,只代理 http
    location / { 
      proxy_pass http://192.168.100.1:8080;
    }
 
    location /demo{
        proxy_pass http://192.168.100.2:8080/demo;
    }

3.配置keycloak (此步骤非必须)

nginx配置完成后,需要在keycloak的conf配置文件中修改下配置

# nginx-https代理配置
# 代理模式 edge 或 passthrough
proxy=edge
hostname-strict=false
hostname-strict-https=false
spi-sticky-session-encoder-infinispan-should-attach-route=false
#https的端口,这个可以不用配置,因为我们没有用到

都配置完成后,重启nginx,重启keycloak,重启你的应用程序,这时候就可以同时使用http和https来访问你的项目了

4.常见问题

4.1 如果使用springboot的jar方式启动,需要配置下反向代理

server:
  # 如果nginx配置了https,springboot没有配置,需要在这里开启,否则无法跳转
  forward-headers-strategy: framework

或者

server:
  tomcat:
    remoteip:
      remote-ip-header: X-Forwarded-For
      protocol-header: X-Forwarded-Proto
      port-header: X-Forwarded-Port

这些配置对应到tomcat中(如果使用war包打包)conf\server.xml < host > 下

<Valve className="org.apache.catalina.valves.RemoteIpValve" 
               remoteIpHeader="X-Forwarded-For" 
			   portHeader="X-Forwarded-Port"
               protocolHeader="X-Forwarded-Proto"/>

4.2 如果tomcat或者java应用报错:

javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: :
 PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: 
 unable to find valid certification path to requested targe

报错原因是java不能信任这个证书导致的,解决方法有多种,这里只介绍将证书导入到jre中这一种。

4.2.1 首先将你证书 (证书可以直接从浏览器上导出) 格式选Base64编码

在这里插入图片描述

4.2.2 执行命令

keytool -importcert -alias 你保存证书的别名(任意值) -keystore /opt/jdk1.8.0_192/jre/lib/security/cacerts -file /opt/jdk1.8.0_192/jre/lib/security/server.cert

第一个路径为jre路径,第二个路径为你证书存放的路径

JDK默认证书的密码是 changeit
提示是否信任后输入Y

4.3 放到服务器上后使用外网IP访问http服务,出现需要ssl

在这里插入图片描述
并在代码中将 keycloak的
ssl-required设置为none

ChangSir-86
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
nginx配置反向代理keycloak
MRLEE1212的博客
03-27 2639
nginx配置反向代理keycloak服务器上部署keycloak,无法直接访问,需要使用nginx进行反向代理,配置内容信息如下: location /auth { proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; ...
keycloak~nginx实现的https转发
vx539413949的博客
04-26 1317
keycloak我们都以docker为例子,来讲一下https的部署。 https更安全,加密传输 kc有些cookies,需要https的支持 nginx部署 upstream keycloak { server 192.168.*.*:8080; } server { server_name kc.lind.com; listen 443 ssl; ssl_certificate /usr/local/nginx/tls.crt; ssl_cert
通过nginx访问keycloak时的Invalid token issuer问题
wdquan19851029的专栏
01-01 3043
开发web应用的时候,使用nginx的动静分离,前端代码部署到nginx,利用反向代理(或者负载均衡)访问后端,利用反向代理访问keycloak。 登录时,nginx会将登录请求转发到keycloak,登录成功之后,前端会 ...
keycloak设置自制https证书
最新发布
YSTXDONG的专栏
05-22 452
keycloak 初始化admin后,出现HTTPS required 问题,后端也提示出现 ssl_required问题。查阅官网后,官网说 start-dev 模式默认不启用https,但是我的却有https校验,一头雾水。于是决定生成自制证书,让keycloak可以被https访问到。
Keycloak建立HTTPS通道 及 TLS / X.509 认证
九术沫的博客
11-17 5538
配置 keycloak 10.0.1 standalone服务器模式 https通道的建立 证书需要在安全的通道上去传输,所以在使用证书登录之前,需要给应用配置上安全通道https
https部署(nginx代理) keycloak ,js加载不出来的问题
qq_42962779的博客
07-26 1597
docker 部署 keycloak js空白,加载不出来解决方式
Keycloak 高可用部署实战
CodingDemo
01-16 2546
Keycloak是一个开源的Identity 和 Access Management工具,本文主要讲解keycloak高可用部署实战。
keycloak-nginx:使用NGINX作为Keycloak的反向代理的示例
04-29
使用Nginx作为Keycloak的反向代理 只需运行 docker-compose up 此命令将启动NginxKeycloak和适当的数据库。 Nginx配置可以在nginx.conf找到。 访问将打开Keycloak的管理UI。 凭据是“管理员”和“密码”。
nginx图片服务器配置https配置
07-24
nginx图片服务器配置https配置
nginx https 配置
11-23
HTTPS是HTTP协议的安全版本,通过使用SSL/TLS协议来加密数据传输,确保用户与服务器之间的通信不被中间人攻击。 首先,为了配置Nginx以支持HTTPS,你需要获取SSL证书。SSL证书通常由权威的证书颁发机构(CA)签发,...
Nginx服务器配置HTTPS nginx.config 配置文件(教程)
09-30
Nginx作为一款高性能的HTTP和反向代理服务器,支持配置HTTPS来实现这一目标。本教程将详细介绍如何配置Nginx服务器以启用HTTPS功能,主要涉及`nginx.conf`配置文件的编辑。 首先,我们需要准备两个关键文件:SSL...
Nginx配置Https证书详细过程
09-29
主要介绍了Nginx配置Https证书详细过程,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
docker keycloak启用ssl https
Rainy_f的博客
12-01 1393
docker keycloak启用ssl https
Keycloak使用nginx配置https
王老欠
03-14 3614
Keycloak使用nginx配置httpsnginx server中需包含如下配置修改standalone.xml nginx server中需包含如下配置 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Host $host; proxy_set_header X-Forwarded-P...
keycaloak 使用 nginx代理 ssl 证书 https 访问
bubaiyi的博客
09-16 745
1.keyclaok 正常配置 2.将证书复制到 nginx.config 同目录下 3.配置nginx.config #user nobody; worker_processes 1; #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid logs/nginx.pid; events { worker_connecti
(八)keycloak 设置客户端访问类型 confidential
07-19 1992
设置keycloak的客户端访问类型为 confidential
keycloak ssl-required报错问题处理
04-21 1636
两台主机,网段不同,第一台129.30.108.179/24 第二台172.16.160.92/24都安装keycloak:dockerrun-d--namekeycloak-eKEYCLOAK_USER=admin-eKEYCLOAK_PASSWORD=admin-p8080:8080jboss/keycloak都可以正常启动,...
使用Keycloak实现安全的SpringBoot微服务,2024年最新nginx在微服务架构的作用
weixin_57992300的博客
04-11 772
总的来说,面试是有套路的,一面基础,二面架构,三面个人。最后,小编这里收集整理了一些资料,其中包括面试题(含答案)、书籍、视频等。希望也能帮助想进大厂的朋友一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!)、书籍、视频等。希望也能帮助想进大厂的朋友**[外链图片转存中…(img-XPn0kIhA-1712809350367)]
Nginx如何配置HTTPS
04-08
Nginx是一个高性能的Web服务器和反向代理服务器,可以通过以下步骤来配置HTTPS: 1. 获取SSL证书:首先,你需要从可信的证书颁发机构(CA)或者使用自签名证书来获取SSL证书。你可以购买商业证书,也可以使用免费的证书,如Let's Encrypt。 2. 配置SSL证书:将获取到的SSL证书文件和私钥文件放置在服务器上。通常,证书文件以.crt或.pem为扩展名,私钥文件以.key为扩展名。 3. 编辑Nginx配置文件:打开Nginx配置文件(通常是nginx.conf),找到你要配置HTTPS的server块。 4. 添加SSL配置:在server块中添加以下配置项: ``` listen 443 ssl; ssl_certificate /path/to/ssl_certificate.crt; ssl_certificate_key /path/to/private_key.key; ``` 将`/path/to/ssl_certificate.crt`替换为你的SSL证书文件的路径,将`/path/to/private_key.key`替换为你的私钥文件的路径。 5. 配置其他SSL选项(可选):你还可以根据需要配置其他SSL选项,如SSL协议版本、密码套件、HSTS等。这些选项可以根据你的具体需求进行配置。 6. 重启Nginx服务:保存配置文件并重新启动Nginx服务,使配置生效。 这样,你就成功地配置NginxHTTPS支持。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ChangSir-86

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值