简单配置搞定 Nginx + Tomcat + HTTPS
2016-04-09 21:24
459 查看
之前在网上搜索到的很多文章在描述 Nginx + Tomcat 启用 HTTPS 支持的时候,都必须在 Nginx 和 Tomcat 两边同时配置 SSL 支持。但我一直在想为什么就不能按照下面的方式来配置呢?就是 Nginx 上启用了 HTTPS,而 Nginx 和 Tomcat 之间走的却是普通的 HTTP 连接。但是搜索很多没有解决办法,最后还是老老实实的 Nginx 和 Tomcat 同时配置的 SSL 支持。
![](http://www.myhack58.com/Article/UploadPic/2015-1/20151102487693.png)
最近给 OSChina 买了个新的支持 *.oschina.net 泛域名的证书,然后我又开始偷懒的想为什么 Tomcat 一定要配 HTTPS 呢? 没道理啊。然后潜心搜索终于找到了解决方案。原来却是如此的简单。
最终配置的方案是浏览器和 Nginx 之间走的 HTTPS 通讯,而 Nginx 到 Tomcat 通过 proxy_pass 走的是普通 HTTP 连接。
下面是详细的配置(Nginx 端口 80/443,Tomcat 的端口 8080):
Nginx 这一侧的配置没什么特别的:
其中最为关键的就是 ssl_certificate 和 ssl_certificate_key 这两项配置,其他的按正常配置。不过多了一个 proxy_set_header X-Forwarded-Proto https; 配置。
最主要的配置来自 Tomcat,下面是我测试环境中的完整 server.xml:
![](http://www.myhack58.com/Article/UploadPic/2015-1/120150110024726.gif)
上述的配置中没有什么特别的,但是特别特别注意的是必须有proxyPort=”443″,这是整篇文章的关键,当然 redirectPort 也必须是 443。同时 <Value> 节点的配置也非常重要,否则你在
Tomcat 中的应用在读取 getScheme() 方法以及在 web.xml 中配置的一些安全策略会不起作用。
怎么样,简单到一塌糊涂吧!!!
![](http://www.myhack58.com/Article/UploadPic/2015-1/20151102487693.png)
最近给 OSChina 买了个新的支持 *.oschina.net 泛域名的证书,然后我又开始偷懒的想为什么 Tomcat 一定要配 HTTPS 呢? 没道理啊。然后潜心搜索终于找到了解决方案。原来却是如此的简单。
最终配置的方案是浏览器和 Nginx 之间走的 HTTPS 通讯,而 Nginx 到 Tomcat 通过 proxy_pass 走的是普通 HTTP 连接。
下面是详细的配置(Nginx 端口 80/443,Tomcat 的端口 8080):
Nginx 这一侧的配置没什么特别的:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 | upstream tomcat { server 127.0.0.1:8080 fail_timeout=0; } # HTTPS server server { listen 443 ssl; server_name localhost; ssl_certificate /Users/winterlau/Desktop/SSL/oschina.bundle.crt; ssl_certificate_key /Users/winterlau/Desktop/SSL/oschina.key; ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; location / { proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Host $http_host; proxy_set_header X-Forwarded-Proto https; proxy_redirect off; proxy_connect_timeout 240; proxy_send_timeout 240; proxy_read_timeout 240; # note, there is not SSL here! plain HTTP is used proxy_pass http://tomcat; } } |
最主要的配置来自 Tomcat,下面是我测试环境中的完整 server.xml:
![](http://www.myhack58.com/Article/UploadPic/2015-1/120150110024726.gif)
上述的配置中没有什么特别的,但是特别特别注意的是必须有proxyPort=”443″,这是整篇文章的关键,当然 redirectPort 也必须是 443。同时 <Value> 节点的配置也非常重要,否则你在
Tomcat 中的应用在读取 getScheme() 方法以及在 web.xml 中配置的一些安全策略会不起作用。
怎么样,简单到一塌糊涂吧!!!
相关文章推荐
- 描述在IPSec传输模式下ESP报文装包和拆包过程
- 计算机网络的客户和服务及它们的方式
- TCP、UDP、IP 协议分析
- 单点登录系列之——HTTP请求与Cookie讲解
- 当没有网络时,用intent去设置网络
- TCP/IP协议族-----13、运输层简单介绍
- VMware网络连接模式详解:桥接、NAt、host-only
- TCP/IP协议栈分析
- 第五届华中区程序设计邀请赛暨武汉大学第十四届校赛 网络预选赛 E Calculation 状态压缩DP枚举子集
- iOS数据库离线缓存思路和网络层封装——原理
- JAVA Socket 底层是怎样基于TCP/IP 实现的
- Java_SE10-多线程,TCP通信
- 第五届华中区程序设计邀请赛暨武汉大学第十四届校赛 网络预选赛 A Minimum Sum 树状数组
- TCP状态转移图和四次握手
- Android 学习记录-网络请求
- 对比iOS网络组件:AFNetworking VS ASIHTTPRequest
- TCP/IP协议栈概述及各层包头分析
- SpringMVC源码剖析(五)-消息转换器HttpMessageConverter
- android网络框架asyncHttpClient 的二次封装
- https://code.csdn.net/xiebaoyou/linux-4-3-0-comment