1.彎路：Tomcat支持SSL

騰訊云Tomcat服務(wù)器證書配置

修改server.xml文件

<Connector 
   port="443" 
   protocol="org.apache.coyote.http11.Http11NioProtocol" 
   SSLEnabled="true" 
   scheme="https" 
   secure="true" 
   keystoreFile="conf\ssl\生產(chǎn)的證書名稱我使用相對(duì)路徑.jks" 
   keystoreType="JKS" 
   keystorePass="證書對(duì)應(yīng)的密碼" 
   clientAuth="false" 
   sslProtocol="TLSv1+TLSv1.1+TLSv1.2"
   maxThreads="150" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256">
</Connector>
<!-- Define an AJP 1.3 Connector on port 8009 -->
<Connector port="8209" protocol="AJP/1.3" redirectPort="8443" secretRequired="" useBodyEncodingForURI="true" URIEncoding="UTF-8"/>

keystoreType="JKS"：請(qǐng)注意該配置跟阿里云的不一樣，記得修改

<Engine defaultHost="我的域名" name="Catalina" jvmRoute="tomcat1" URIEncoding="UTF-8">
 <Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>
 <Realm className="org.apache.catalina.realm.LockOutRealm">
  <Realm className="org.apache.catalina.realm.UserDatabaseRealm" resourceName="UserDatabase"/>
 </Realm>
 <Host name="我的域名" appBase="webapps" unpackWARs="true" autoDeploy="true">
  <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
    prefix="localhost_access_log" suffix=".txt"
    pattern="%h %l %u %t &quot;%r&quot; %s %b" />
 </Host>
</Engine>

服務(wù)器啟動(dòng)完畢之后443端口也被占用了，真的好坑好坑，如果不需要轉(zhuǎn)發(fā)的時(shí)候，可以使用改配置。

啟動(dòng)nginx 不成功bind() to 0.0.0.0:443 failed (10013: An attempt was made to access a socket in a way forbidden by its access permissions

2.需求概述

當(dāng)在一個(gè)服務(wù)器(騰訊云的服務(wù)器的IP地址)部署多個(gè)服務(wù)，不同服務(wù)需要通過不同域名訪問時(shí)，可以通過Nginx代理進(jìn)行域名轉(zhuǎn)發(fā)，同時(shí)還可以通過配置SSL模塊實(shí)現(xiàn)https訪問。(我的服務(wù)器使用window系統(tǒng)，如果沒有SSL模塊需要自行開啟，默認(rèn)是支持的)

在一個(gè)服務(wù)器同時(shí)部署3個(gè)服務(wù)：服務(wù)A，服務(wù)B和服務(wù)C，服務(wù)需配置以下域名：

pangsir01.domain.com域名對(duì)應(yīng)服務(wù)A;

pangsir02.domain.com域名對(duì)應(yīng)服務(wù)B;

pangsir03.domain.com域名對(duì)應(yīng)服務(wù)C;

服務(wù)通過https訪問，http請(qǐng)求重定向至https。

(1)服務(wù)代理設(shè)置

配置Nginx監(jiān)聽443端口，實(shí)現(xiàn)域名轉(zhuǎn)發(fā)和https訪問，本示例使用的證書是crt格式證書

1)服務(wù)A的配置

server {
 listen 443 ssl; #監(jiān)聽端口，Nginx1.5后推薦使用
 server_name pangsir01.domain.com; #請(qǐng)求域名
 ssl_certificate ssl/證書名稱A.crt; #crt證書路徑,存放位置Nginx的conf/ssl文件夾下，可以使用絕對(duì)路徑
 ssl_certificate_key  ssl/證書名稱A.key; #crt證書key路徑
 ssl_session_timeout  5m; #會(huì)話超時(shí)時(shí)間
 ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL協(xié)議
 # 攔截所有請(qǐng)求
 location / {
  proxy_http_version 1.1; #代理使用的http協(xié)議
  proxy_set_header Host $host; #header添加請(qǐng)求host信息
  proxy_set_header X-Real-IP $remote_addr; # header增加請(qǐng)求來源IP信息
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理記錄
  proxy_pass http://127.0.0.1:8001; #服務(wù)A訪問地址
 }
}

2)服務(wù)B的配置

server {
 listen 443 ssl; #監(jiān)聽端口，Nginx1.5后推薦使用
 server_name pangsir02.domain.com; #請(qǐng)求域名
 ssl_certificate ssl/證書名稱B.crt; #crt證書路徑,存放位置Nginx的conf/ssl文件夾下，可以使用絕對(duì)路徑
 ssl_certificate_key  ssl/證書名稱B.key; #crt證書key路徑
 ssl_session_timeout  5m; #會(huì)話超時(shí)時(shí)間
 ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL協(xié)議
 # 攔截所有請(qǐng)求
 location / {
  proxy_http_version 1.1; #代理使用的http協(xié)議
  proxy_set_header Host $host; #header添加請(qǐng)求host信息
  proxy_set_header X-Real-IP $remote_addr; # header增加請(qǐng)求來源IP信息
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理記錄
  proxy_pass http://127.0.0.1:8002; #服務(wù)B訪問地址
 }
}

3)服務(wù)C的配置

server {
 listen 443 ssl; #監(jiān)聽端口，Nginx1.5后推薦使用
 server_name pangsir03.domain.com; #請(qǐng)求域名
 ssl_certificate ssl/證書名稱C.crt; #crt證書路徑,存放位置Nginx的conf/ssl文件夾下，可以使用絕對(duì)路徑
 ssl_certificate_key  ssl/證書名稱C.key; #crt證書key路徑
 ssl_session_timeout  5m; #會(huì)話超時(shí)時(shí)間
 ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL協(xié)議
 # 攔截所有請(qǐng)求
 location / {
  proxy_http_version 1.1; #代理使用的http協(xié)議
  proxy_set_header Host $host; #header添加請(qǐng)求host信息
  proxy_set_header X-Real-IP $remote_addr; # header增加請(qǐng)求來源IP信息
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理記錄
  proxy_pass http://127.0.0.1:8003; #服務(wù)B訪問地址
 }
}

(2)http請(qǐng)求自動(dòng)轉(zhuǎn)發(fā)

增加server配置，監(jiān)聽80端口，對(duì)所有域名進(jìn)行https重定向

server {
 listen  80; #監(jiān)聽端口
 server_name a.domain.com b.domain.com c.domain.com; #請(qǐng)求域名
 return  301 https://$host$request_uri; #重定向至https訪問。
}

3.WebSocket的SSL配置

假如服務(wù)A中使用到websocket(訪問接口為：/websocket)，需要將ws協(xié)議更換為wss協(xié)議，可在服務(wù)A的server配置中增加一個(gè)location配置，攔截websocket進(jìn)行單獨(dú)代理。

服務(wù)A的配置，修改后：

server {
  listen 443 ssl; #監(jiān)聽端口
  server_name pangsir01.domain.com; #請(qǐng)求域名
  ssl_certificate ssl/證書名稱A.crt; #crt證書路徑
  ssl_certificate_key  ssl/證書名稱A.key; #crt證書key路徑
  ssl_session_timeout  5m; #會(huì)話超時(shí)時(shí)間
  ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL協(xié)議
  # 攔截所有請(qǐng)求
  location / {
   proxy_http_version 1.1; #代理使用的http協(xié)議
   proxy_set_header Host $host; #header添加請(qǐng)求host信息
   proxy_set_header X-Real-IP $remote_addr; # header增加請(qǐng)求來源IP信息
   proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理記錄
   proxy_pass http://127.0.0.1:8001; #服務(wù)A訪問地址
  }  
  # 攔截websocket請(qǐng)求
  location /websocket {
   proxy_pass http://127.0.0.1:8001;
   proxy_http_version 1.1;
   proxy_set_header Upgrade $http_upgrade;
   proxy_set_header Connection "upgrade";
  }
 }

以上就是關(guān)于“Nginx轉(zhuǎn)發(fā)https訪問的實(shí)現(xiàn)”的介紹，大家如果想了解更多相關(guān)知識(shí)，可以關(guān)注動(dòng)力節(jié)點(diǎn)Nginx視頻教程，里面有更豐富的知識(shí)點(diǎn)在等著大家去學(xué)習(xí)，希望對(duì)大家能夠有所幫助。