详解 Nginx + Tomcat HTTPS/SSL 配置

最新推荐文章于 2024-02-10 09:54:11 发布
最新推荐文章于 2024-02-10 09:54:11 发布
阅读量1.7k 收藏
点赞数
分类专栏: 安全 文章标签: ssl https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xinyuan197921/article/details/84439012
版权

前言:这篇文章涉及到很多专业术语,例如密钥对,私钥,公钥,证书等等,关于加密的理论和概念请参考我之前写的 《SSL 与数字证书》,我在这篇文章中就不重复这些概念了。 

1. 申请 SSL 证书 
你可以从很多网站购买到SSL证书,我经常使用的是 GeoTrust 。证书都是收费的(据说有免费的,没试过),价格有贵的有便宜的。它们的区别是发行证书的机构不同,贵的证书机构更权威,证书被浏览器否决的几率更小。正规运营的网站建议购买好一点的证书,免了麻烦,也贵不了多少。 

1.1 生成 CSR 文件 
申请证书的时候,证书的发行机构会要求你提供一个CSR(Certificate Signing Request)文件,这个文件包含了发行机构需要的所有信息。在生成CSR之前,我们必须先创建密钥对: 

1 $JAVA_HOME/bin/keytool -genkey -alias <your_alias_name> -keyalg RSA -keystore <your_keystore_filename> -keysize 2048

这里我们使用的是RSA非对称算法,2048位的密钥(好的证书机构强制2048位)。<your_alias_name>可以是网站名,比如“oschina”,同理<your_keystore_filename>可以是oschina.keystore。 

这个命令会让你输入私钥所有者的信息,也就是你的网站的信息,这里只有一个字段是关键的“Common Name(CN)”,这个字段应该是你的网站域名,例如“www.oschina.net”,别的字段例如国家地区什么的你看着填就行了。使用keytool工具的话,它提示输入“first and last name”就是让你输入“Common Name”。在你填完信息以后,它会让你设置keystore和密钥的访问密码,你输入就行了,建议使用相同的密码。如果不输入的话,默认密码是“changeit”。 

下面来生成CSR文件: 

1 $JAVA_HOME/bin/keytool -certreq -keyalg RSA -alias <your_alias_name> -file certreq.csr -keystore <your_keystore_filename>

这里 <your_alias_name> 和上面一步是一致的,我这里输入 oschina ,<your_keystore_filename>输入 oschina.keystore。这一步会问你要keystore密码,就是你上一步设置的密码。生成的“certreq.csr”是一个文本文件,你打开应该看到类似如下内容: 
-----BEGIN NEW CERTIFICATE REQUEST----- 
MIICvzCCAacCAQAwejELMAkGA1UEBhMCQ04xEjAQBgNVBAgTCUd1YW5nZG9uZzERMA8GA1UEBxMI 
U2hlbnpoZW4xFDASBgNVBAoTC09TQ2hpbmEuTkVUMRQwEgYDVQQLEwtPU0NoaW5hLk5FVDEYMBYG 
A1UEAxMPd3d3Lm9zY2hpbmEubmV0MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAnyZ3 
8SXC6FmggtMtGBMCW/L88qd2DXjeryQExyUfy30VU4ROYcPnLNZXtwtE+poOf7AdqrQvrYBNJsls 
xAmlKEKN7t1ATq3vYSaygx74Ixh4lsYQhJA03sZlcIe8N1EoSYwvch37ksQfhXC/zcZ9ltT9Pk67 
dZTVoNPwI92bxH1VpCwnpNpygT1v8YSCQM6mIrBkWeNuWolhYQmKSRgOM9gV8hd06zBd6mNBGdxB 
ktZ6KlZQp8i+A4hevcRuo9ebNLIhfERDghgos+zbaq1d2whgWegdv/mLnudLHjyyqcEBwk87rp7n 
zFh2C220JmDMXAMGsz0QeA60wpRC6492UwIDAQABoAAwDQYJKoZIhvcNAQEFBQADggEBAGfLBzJt 
+CFJ0v4LzttWHNMEpj5rvtoEBr2QYtB0op2y27mp0qwqCfCj0wv3Rw8xZzh6oPKx0NB2tnWqcqyN 
XmVW4nl3SLd9bdY3I7/wdQkriCd6sBgn6Voh8mJOGKKtNZADQ3AfqUD1ge39bL+v7H0EdwtOfmCr 
tAn35+qIIXH3SWS2R+G5sqa76GgjSRwkN8awzrbZJbA/hRPi5wwL+RV3/NFWfFmr4hpsuWHos7ly 
5iFJpQqWVodpq9mxaaugzKvv0HG+A8ip0DG+vB8SnUgBMnAMM8UP1P2ozgNG0Twncq+uIAyz0Uw9 
IzQHiWhtGpFAN9RO0xPl4EnYW6A+TM4= 
-----END NEW CERTIFICATE REQUEST----- 
你把CSR的内容提供给证书发行机构就行了。 

1.2 提交认证请求 
在你提交证书签名请求以后,证书发行机构会让你提供一个管理员邮箱来验证你的请求。例如我是给 oschina.net 请求签名,它就要我提供 admin@oschina.net 或者 webmaster@oschina.net 来验证这个请求的确是拥有 oschina.net 域名的人发起的。收到证书发行机构的验证邮件后,你去确认,然后付款就会收到签名后的证书(实时的,不需要等待): 
-----BEGIN CERTIFICATE----- 
MIIFBDCCA+ygAwIBAgIDA7WjMA0GCSqGSIb3DQEBBQUAMGExCzAJBgNVBAYTAlVT 
MRYwFAYDVQQKEw1HZW9UcnVzdCBJbmMuMR0wGwYDVQQLExREb21haW4gVmFsaWRh 
dGVkIFNTTDEbMBkGA1UEAxMSR2VvVHJ1c3QgRFYgU1NMIENBMB4XDTEyMDIyNjA0 
NTQyMVoXDTE0MDIyNzExMDQwMFowge0xKTAnBgNVBAUTIGxEMEdjSW1OSlhyQTZY 
YXUtU055R1prTUtXdUdQVDFkMQswCQYDVQQGEwJDTjEYMBYGA1UEChMPd3d3Lm9z 
Y2hpbmEubmV0MRMwEQYDVQQLEwpHVDg3NjQ4MDE5MTEwLwYDVQQLEyhTZWUgd3d3 
Lmdlb3RydXN0LmNvbS9yZXNvdXJjZXMvY3BzIChjKTEyMTcwNQYDVQQLEy5Eb21h 
aW4gQ29udHJvbCBWYWxpZGF0ZWQgLSBRdWlja1NTTChSKSBQcmVtaXVtMRgwFgYD 
VQQDEw93d3cub3NjaGluYS5uZXQwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEK 
AoIBAQCfJnfxJcLoWaCC0y0YEwJb8vzyp3YNeN6vJATHJR/LfRVThE5hw+cs1le3 
C0T6mg5/sB2qtC+tgE0myWzECaUoQo3u3UBOre9hJrKDHvgjGHiWxhCEkDTexmVw 
h7w3UShJjC9yHfuSxB+FcL/Nxn2W1P0+Trt1lNWg0/Aj3ZvEfVWkLCek2nKBPW/x 
hIJAzqYisGRZ425aiWFhCYpJGA4z2BXyF3TrMF3qY0EZ3EGS1noqVlCnyL4DiF69 
xG6j15s0siF8REOCGCiz7NtqrV3bCGBZ6B2/+Yue50sePLKpwQHCTzuunufMWHYL 
bbQmYMxcAwazPRB4DrTClELrj3ZTAgMBAAGjggE2MIIBMjAfBgNVHSMEGDAWgBSM 
9NmTCke8AKBKzkt1bqC2sLJ+/DAOBgNVHQ8BAf8EBAMCBaAwHQYDVR0lBBYwFAYI 
KwYBBQUHAwEGCCsGAQUFBwMCMCcGA1UdEQQgMB6CD3d3dy5vc2NoaW5hLm5ldIIL 
b3NjaGluYS5uZXQwQQYDVR0fBDowODA2oDSgMoYwaHR0cDovL2d0c3NsZHYtY3Js 
Lmdlb3RydXN0LmNvbS9jcmxzL2d0c3NsZHYuY3JsMB0GA1UdDgQWBBSMnwGchSF9 
4rpwjGM0R5TdD/OU3zAMBgNVHRMBAf8EAjAAMEcGCCsGAQUFBwEBBDswOTA3Bggr 
BgEFBQcwAoYraHR0cDovL2d0c3NsZHYtYWlhLmdlb3RydXN0LmNvbS9ndHNzbGR2 
LmNydDANBgkqhkiG9w0BAQUFAAOCAQEAYtzSVIU/O43qyL4mBFv8DSwoLfi5kHIz 
35sBVHM1Z3LW8tnIyscPewYZdy6pszBsm4AtJ0C+fdCM6Ai4GnMdIacao18OIcXS 
n2ZiYVrZAs/GCzHRpCpu3VfFTogBiuTS+/Sm87KD8o1kHCxGxNDftfPorq4K5B+0 
sIWhxU2gErog1vkGqzuO5CiupMIIp6swqGR0rUnh7XH+WkfjamnU9I8Yqz//QENT 
cIaUI/2E2btqCvK4vgtsvhzYHLhmcGljiu0PEeCtIBa4CZSiiMk6E9P7tb/+l3o4 
CS9dHYutNG1LqN3FNx34EYBYykGOz2N79L3BIUwIXa7v7QoO+T+c6w== 
-----END CERTIFICATE----- 
这就是你的网站,经过权威机构签名的证书。当用户通过HTTPS访问你的网站的时候,浏览器会验证这个证书。 

1.3 下载证书 
证书分很多种格式,例如X.509(.crt文件)、PKCS #7(.p7s文件)等等。不同的网站服务器可能要求不同格式的证书。很多时候,给我们的证书签名的是二级证书机构,它上面还有根证书机构。所以你在购买签名过的证书以后,它还会给你一个它自己的证书叫做“Intermediate CA(中间证书)”,格式和你自己的证书是一样的。在部署证书的时候你需要同时部署你自己的证书还有中间证书,这就叫做Certificate Chain。好的证书发行机构会提供多种证书供你选择下载,建议下载同时下载X.509还有 PKCS #7两种格式。不要忘记下载 X.509格式的中间证书。PKCS #7格式的不要是因为这个格式自带了各种中间证书。 

2. 部署证书到Tomcat 
Tomcat要求的是包含签名过证书的keystore文件和keystore密码。所以我们要先把证书导入keystore 
2.1 导入证书到KeyStore 

1 $JAVA_HOME/bin/keytool -import -alias oschina -trustcacerts -file oschina.p7s  -keystore oschina.keystore

上面的命令中 alias “oschina” 和之前申请证书的时候输入的 alias 要一致。 

2.2 修改Tomcat配置 

1 <Connector SSLEnabled="true" acceptCount="100" clientAuth="false"
2         disableUploadTimeout="true" enableLookups="false" maxThreads="25"
3         port="8443" keystoreFile="/oschina/webapp/oschina.keystore" keystorePass="xxxxxxx"
4         protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https"
5         secure="true" sslProtocol="TLS" />

3. 部署证书到Nginx 
Nginx和Tomcat不一样,它要求的是证书文件 .crt 和私钥 .key 。遗憾的是,我们的私钥在keystore里面,而JDK自带的keytool并不提供私钥的导出功能,所以我们得借助第三方工具来导出私钥。 

3.1 导出私钥(key) 
有一个开源的私钥导出工具叫做 java-exportpriv 。它是一个简单的java程序,你下载以后参考它的说明,编译,然后运行即可,非常简单,我就不多罗嗦了。 

3.2 创建certificate chain 
和Apache不一样,Nginx没有Certificat Chain这个参数,所以你要把你的证书和中间证书合并。合并证书很简单,创建一个先的文件 oschina-chain.crt,内容如下: 
-----BEGIN CERTIFICATE----- 
这里是你证书的内容 
-----END CERTIFICATE----- 
-----BEGIN CERTIFICATE----- 
这里是中间证书的内容 
-----END CERTIFICATE----- 

3.3 修改Nginx配置文件 

01server {
02         listen       443 ssl;
03         server_name  localhost;
04         ssl                  on;
05         ssl_certificate      /oschina/webapp/oschina-chain.crt;
06         ssl_certificate_key  /oschina/webapp/oschina.key;
07 
08     location / {
09             include proxy.conf;
10             proxy_pass   https://61.145.122.155:443;
11         }
12 
13     }

4. 验证证书是否安装正确 
首先当然是自己用HTTPS的方式访问自己的网站,看看浏览器是否报错或者报警,记得要把各种浏览器都试一遍。然后用 在线工具来测试你的网站HTTPS的配置是否正确,如果都测试通过,那么就大功搞成啦!

 

 

说明:此文流程是正确的,在实际操作过程中需要注意:

1) GeoTrust 很慢,需要电话语音验证,同时会发送你要注册的域名一封邮件,admin@域名,以此验证你是否对该域名具有管理权限。如果你确实有管理权限,他会去查找你的邮箱,供你选择管理员邮箱。

2)验证完后,会发送你注册时邮箱一封邮件,提示你进行进行下载,选择第一个:

Install the X.509 version of your certificate included at the end of this e-mail.

For installation instructions for your SSL Certificate, go to: 

http://www.geotrust.com/support/installation-instructions/index.html’;

选择:

Tomcat

 然后: https://products.geotrust.com/geocenter/reissuance/reissue.do

填入相关信息后,收邮件,打开连接,到新页面,选择左上角查看证书,然后下载crt格式,之后,还要下载颁发机构证书,最后用这个进行nginx证书的合并用,即中间证书。

3)关于 java-exportpriv ,下载器源码,包含三个参数,第一个是你生成的doudouy.keystore文件的绝对路径,另一个是你的域(doudouy),甚于一个是你一直输入的密码,三个参数以逗号隔开。

4)在用jdk命令时,加上./,  另外,在生成 doudouy.keystore时,中国的代码是CN

 

 

 

xinyuan197921
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx + Tomcat + HTTPS极速配置
03-29
作者:RKun595,来自原文地址  由于最近在学习微信小程序开发,所以在阿里云申请了一个免费的https证书,这个证书申请...然后修改nginx配置文件 sudo vi /etc/nginx/nginx.conf  加上一个监听服务   upstream tomcat
hxyx4xyzindex php vo,webshell/php/oi.php.txt at da33d92ba83c1f8d44e15957022ed4a03423a699 · tennc/web...
热门推荐
weixin_31163455的博客
03-26 22万+
eval("?>".gzuncompress(base64_decode("eJzsvXtbG0eyOPz/eZ7zHZqJYkuxEALbuYAhwYBjToxhAa83P+BVRpqRNEHSKDMjLsn6u79V1feeHkmQZE/2POvd2Jq+VFdXd1dXV1dVv/p2Opz+9399ttwfLMjif7DDyU0YJVHKNtrtb1jpDxaM4n4yietP82H...
nginx https配置演示 简单可用
Fzqx_的博客
03-11 1971
直接看配置: server { listen 443 ssl; server_name {{你的域名}}; root {{项目目录}}; charset utf-8; location / { index index.php index.html; } location ~ \.(htm|html|gif|jpg|jpeg|png|bmp|i...
Nginx 配置 SSL证书
最新发布
程序猿进阶
02-10 5258
成功配置SSL证书后,您将能够通过HTTPS加密通道安全访问Nginx服务器。
【音乐爬虫】Python爬虫-selenium+browsermob-proxy 解决动态网页 js渲染问题
对愁眠的博客
10-10 9181
1.一般的python爬虫很简单,直接请求对应网址,解析返回的数据即可,但是有很多网站的数据的js动态渲染的,你直接请求是得不到对应的数据的   这时就需要其它手段来处理了。 2.以一个例子来说明,整个过程,爬取一个音乐网站的对应歌手的歌曲。 目标网址http://tool.liumingye.cn/music/?page=searchPage,在搜索框输入歌手名字即可得到歌曲。 如果我们直接请求这个网址:http://tool.liumingye.cn/music/?page=audioPa.
Nginx 配置 https(无限配置https 源码) 复制粘贴就能用
qq_41642932的博客
03-18 6214
申请证书看我前面发的 免费获取法 server { listen 443 ; server_name m.jiaoyukou.com www.m.jiaoyukou.com; index index.php; root /home/eduapp/app/websoho/; if ($scheme != https) { rewrite ^/...
若依SpringBoot2.x配置HTTPS访问同时支持HTTP
u012765781的博客
06-07 4441
SpringBoot2.x配置HTTPS访问,总体上可以分为两大步:一.生成SSL证书;二.配置HTTPS访问。 一.生成SSL证书 取得SSL证书的方法有:(1)阿里云购买免费的ssl证书 (2)用命令生成ssl证书 命令生成证书 生成客户端证书 二.配置HTTPS访问 将证书文件:client.p12复制到resources目录下 修改application.yml 修改启动类 添加servletContainer()和initiateHttpConnector()两个方法,完整代码如下: 启动Spr
Nginx+Tomcat+Https 服务器负载均衡配置实践方案详解
09-30
主要介绍了Nginx+Tomcat+Https 服务器负载均衡配置实践方案的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
Nginx+Tomcat的服务器端环境配置详解
01-10
Nginx+tomcat是目前主流的java web架构,如何让nginx+tomcat同时工作呢,也可以说如何使用nginx来反向代理tomcat后端均衡呢?直接安装配置如下: 1、JAVA JDK安装: #下载相应的jdk软件包,然后解压安装,我这里包...
windows服务器部署 nginx+tomcat+mysql服务器端部署 阿里云服务器部署及配置
04-28
详细说明了windows服务器nginx+tomcat+mysql部署及配置配置阿里云后台安全组,配置域名)很适合新手学习 附件中包含: 1.操作说明文档 2.操作录屏 3.安装所用到的软件安装包 1)Windows Server 2019 数据中心版 ...
Nginx+Tomcat配置SSL双向验证示例
03-18
本资源是一个 CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证配置示例。详细如何配置请参考博客《图文:CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证》,地址是:...
2024年最新若依RuoYI安装全教程
weixin_67892133的博客
04-05 3610
2023 2024年最新版若依RuoYI安装全教程 数据库 安装redis node.js 环境变量配置 idea或eclipse node.js 的下载 %NODE_PATH% 配置镜像站 npm run dev运行
SpringBoot Tomcat 配置https 且443端口也是https(若依为例对接微信小程序的https,小程序也可以访问)
weixin_51480428的博客
03-28 1705
SpringBoot Tomcat 配置https 且443端口也是https(若依为例对接微信小程序的https,小程序也可以访问)
若依微服务-spring-cloud配置HTTPS访问及SSL证书,保姆级,带详细说明
gaoduicai的博客
01-08 1277
1.场景:安全需要,将原微服务架构的http转为https,并且对已有用户无感;及客户在访问http://a.aa.com时自动转为:https://a.aa.com。3.nginx配置如下:Linux生产环境自动更改证书目录位置即可,以下实例为windows测试环境,亲测成功;2.实现:由于前后端完全分离,使用Nginx做代理,证书选择nginxSSL证书;
springboot项目安装SSL证书实现HTTPS访问,以若依框架为例
xiao15131203212的博客
07-20 4201
首先下载证书,网上有很多免费的,也可以自己购买并域名然后会对应提供证书。以腾讯云为例,下载下来的解压后如图。 项目里我们操作有: 1、在resource中新建cert文件,并将证书中的Tomcat文件夹中的两个文件导入到cert文件夹中。 2、在yml文件中配置证书的信息,添加如下代码: ssl: # SSL 证书路径,classpath 必不可少 key-store: classpath:20200427.jks # SSL 证书密码 key-store-passw
Nginx配置HTTPS(八)
qq_43714097的博客
08-26 2020
nginx ,linux, 运维,自动化
nginx配置SSLhttps访问
蚂蚁爱吃糖
01-21 1750
1.环境 要用nginx配置httpsSSL,需要证书,nginx需要支持SSL模块。如何安装支持SSLnginx请看这篇nginx的安装. 2.nginx.conf配置 默认nginx是把h # HTTPS server # #server { # listen 443 ssl; # server_name localhost
Nginx证书和Tomcat证书能相互转化吗,请看这里
后端老鸟
08-29 1877
【转载请注明出处】:https://blog.csdn.net/huahao1989/article/details/108020899 主流 Web 服务软件证书 一般来说,主流的 Web 服务软件,通常都基于 OpenSSL 和 Java 两种基础密码库。 Tomcat、Weblogic、JBoss等Web服务软件,一般使用Java提供的密码库。通过Java Development Kit (JDK)工具包中的Keytool工具,生成Java Keystore(JKS)格式的证书文件。 Apache、
windows中,nginx+tomcat+项目详细配置
09-19
在Windows系统中,配置NginxTomcat项目需要进行以下详细配置。 首先,要确保已经正确安装并配置NginxTomcat。然后,在Nginx配置文件(一般为nginx.conf)中,需要进行如下配置: 1. 配置NginxTomcat的反向代理关系。可以在Nginx的http部分中加入如下代码: ``` location / { proxy_pass http://localhost:8080; proxy_redirect off; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } ``` 这里将Nginx的80端口与Tomcat的8080端口建立反向代理关系。 2. 配置虚拟主机。如果需要配置多个Tomcat项目,可以通过虚拟主机来实现。在Nginx的http部分中添加如下代码: ``` server { listen 80; server_name your_domain_name; location / { proxy_pass http://localhost:8080; proxy_redirect off; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } } ``` 这里的"your_domain_name"替换为你的域名,配置不同的域名可以区分不同的Tomcat项目。 接下来,需要配置Tomcat的服务器。在Tomcat的server.xml中,进行如下配置: 1. 配置连接器。添加如下代码: ``` <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" /> ``` 这里的端口号可以根据需要进行调整。 2. 配置虚拟主机。如果需要配置多个Tomcat项目,可以通过虚拟主机来实现。添加如下代码: ``` <Host name="your_domain_name" appBase="webapps" unpackWARs="true" autoDeploy="true"> <Context path="" docBase="your_application_path" /> </Host> ``` 这里的"your_domain_name"替换为你的域名,"your_application_path"替换为你的项目路径。 配置完成后,保存文件并重新启动NginxTomcat。现在,Nginx将可以通过80端口访问Tomcat项目,而Tomcat将通过8080端口提供服务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值