阿里云slb和ucloud负载均衡ulb添加ssl证书将http服务https化的配置详解
2016-12-09 14:12
429 查看
阿里云和ucloud服务器配置ssl证书将http服务https化的配置详解
公司的主要业务跑在公有云环境,部分使用了负载均衡器类似lvs的产品slb、ulb等,lvs后面部署了服务器集群,有部分服务是通过http来接入的,所以需要将这部分服务改造为https,之前因为有部分业务已经在用http,所以要做到http和Https兼容,即能通过http也能通过https访问
对于使用了lvs负载均衡的服务直接将证书放在lvs即ulb和slb上即可,对于单台云服务器的机器需要单独处理。
app_ios客户端 --> app_server
![](https://oscdn.geek-share.com/Uploads/Images/Content/201910/23/09c8df3e86fe4db439beeff7573b96ea)
app_ios客户端 --> lvs --> app_servers(这种情况下,如果)
![](https://oscdn.geek-share.com/Uploads/Images/Content/201910/23/b26d21d9e83ff9a8e9d86529fec88fcf)
此处我们申请的是类似*.chinasoft.com这种通配符域名的ssl证书
关于证书的说明:
需要注意一点的是a.chinasoft.com和b.a.chinasoft.com这两种方式的通配符域名不同,需要改造或者申请两次
具体参考:https://help.aliyun.com/knowledge_detail/48020.html?spm=5176.7842212.2.1.rJpNNc
此处我们选择了GeoTrust DV SSL: 价格便宜, 支持泛域名, 颁发迅速(30 min之内), 最重要的是统一使用了阿里云进行管理
有钱的朋友建议使用更加专业的ssl证书,比如ov等
![](https://oscdn.geek-share.com/Uploads/Images/Content/201910/23/25185c286262c3f324799aba79128bdf)
![](https://oscdn.geek-share.com/Uploads/Images/Content/201910/23/345126194beca70560528fc1f896f487)
![](https://oscdn.geek-share.com/Uploads/Images/Content/201910/23/40b2032d28f0a5c8d4eb7d3d7362b50d)
![](https://oscdn.geek-share.com/Uploads/Images/Content/201910/23/12677fb06063e37eae2bfad99880412d)
![](https://oscdn.geek-share.com/Uploads/Images/Content/201910/23/ce0d7981a30985657bcb742d53657828)
![](https://oscdn.geek-share.com/Uploads/Images/Content/201910/23/2481a98058761b82b241fea70a4a7b6d)
![](https://oscdn.geek-share.com/Uploads/Images/Content/201910/23/ddf3a0dbc3120b9fdb4d321da2a830d3)
将证书拷贝到slb的地域中
![](https://oscdn.geek-share.com/Uploads/Images/Content/201910/23/5c877767c26f6859428a501c565fd272)
在具体的slb负载均衡中添加https端口的转换
![](https://oscdn.geek-share.com/Uploads/Images/Content/201910/23/554f0b8d4f910de76927da0400e3ebcf)
![](https://oscdn.geek-share.com/Uploads/Images/Content/201910/23/9bf9d3e45c33ae5cf0c32d53a439cc52)
在需要添加的ulb中添加https的端口转换
![](https://oscdn.geek-share.com/Uploads/Images/Content/201910/23/42866e7a4f9e98c37fd73465613f73cc)
验证是否ok:将dns需要https化的域名指向刚才添加的slb上,可以通过360浏览器访问验证(如果是可信机构颁发的证书会显示绿色的加锁标志)
![](https://oscdn.geek-share.com/Uploads/Images/Content/201910/23/c9b4b2ed04001b59333e776f26b6b24a)
![](https://oscdn.geek-share.com/Uploads/Images/Content/201910/23/aa4e66b9d1f32e0a80aeba6b1e1b1361)
/conf/server.xml配置示例:
说明文档:
安装证书
Tomcat支持JKS格式证书,从Tomcat7开始也支持PFX格式证书,两种证书格式任选其一。下载包中包含PFX格式证书和密码文件。
PFX证书安装
找到安装 Tomcat 目录下该文件server.xml,一般默认路径都是在 conf 文件夹中。找到 <Connection port="8443" 标签,增加如下属性:
keystoreFile="/你的磁盘目录/订单号.pfx"
keystoreType="PKCS12"
keystorePass="证书密码"
完整的配置如下,其中port属性根据实际情况修改:
![](https://oscdn.geek-share.com/Uploads/Images/Content/201910/23/831f90cc231eb7ce5b4022ea9fafe534)
JKS证书安装
( 1 ) 使用java jdk将PFX格式证书转换为JKS格式证书(windows环境注意在%JAVA_HOME%/jdk/bin目录下执行)
keytool -importkeystore -srckeystore 订单号.pfx -destkeystore your-name.jks -srcstoretype PKCS12 -deststoretype JKS
回车后输入一次PFX证书密码,然后输入两次要设置的JKS证书密码,并牢记此证书密码。
( 2 ) 找到安装 Tomcat 目录下该文件Server.xml,一般默认路径都是在 conf 文件夹中。找到 <Connection port="8443" 标签,增加如下属性:
keystoreFile="/你的磁盘目录/your-name.jks"
keystorePass="证书解压密码"
完整的配置如下,其中port属性根据实际情况修改:
<Connector port="8443" protocol="HTTP/1.1"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
keystoreFile="/你的磁盘目录/your-name.jks"
keystorePass="证书解压密码"
clientAuth="false" sslProtocol="TLS" />
自此,关于证书的申请和在云服务器集群和单机中的应用已告一段落,后面就需要在客户端程序中进行适配性改造了,服务端一般不需要做任何改动
项目背景:
苹果App于2017年1月1日将启用App Transport Security安全功能,即强制App通过HTTPS连接网络服务,各公司猜测按照苹果的一贯作风可能会强制要求开发厂商实施http向https化,否则可能不会让app上架,于是就有了服务由http向https转化的需求。公司的主要业务跑在公有云环境,部分使用了负载均衡器类似lvs的产品slb、ulb等,lvs后面部署了服务器集群,有部分服务是通过http来接入的,所以需要将这部分服务改造为https,之前因为有部分业务已经在用http,所以要做到http和Https兼容,即能通过http也能通过https访问
方案:
在ulb或slb这类负载均衡上使用ssl证书,https通过ulb或者slb加密后转发给服务端处理,这种方式是最节省成本的处理方法,服务端不需要做改造,需要在客户端做适配即可对于使用了lvs负载均衡的服务直接将证书放在lvs即ulb和slb上即可,对于单台云服务器的机器需要单独处理。
主要的两种业务访问方式:
如果ios或android端是通过ip的方式直接连接http服务的需要将ip更改为域名,ssl证书只颁发给域名(国内一般都有备案,在浏览器访问的时候会给出更加好的ui体验)app_ios客户端 --> app_server
app_ios客户端 --> lvs --> app_servers(这种情况下,如果)
具体步骤:
1.申请ssl证书
为了以后管理方便此处我们直接通过阿里云申请的,大家也可以直接去相关的ssl证书颁发官网申请此处我们申请的是类似*.chinasoft.com这种通配符域名的ssl证书
关于证书的说明:
需要注意一点的是a.chinasoft.com和b.a.chinasoft.com这两种方式的通配符域名不同,需要改造或者申请两次
具体参考:https://help.aliyun.com/knowledge_detail/48020.html?spm=5176.7842212.2.1.rJpNNc
此处我们选择了GeoTrust DV SSL: 价格便宜, 支持泛域名, 颁发迅速(30 min之内), 最重要的是统一使用了阿里云进行管理
有钱的朋友建议使用更加专业的ssl证书,比如ov等
2.支付完订单后,需要填写证书的详细信息并且提交审核才能完成证书申请流程
点击进度,上面有提示需要将厂商验证的html文件上传到chinasoft.com这个域名指向服务器的web根目录下,并且能访问,一般1个小时就可以收到官方的ssl验证(阿里云就比较慢,一般需要1天左右才能同步过来)3.将证书传到具体的负载均衡产品或服务器中
①有负载均衡的方式:即 ios --> slb --> app_servers 的方式
aliyun:
将证书拷贝到slb的地域中
在具体的slb负载均衡中添加https端口的转换
uloud:
在需要添加的ulb中添加https的端口转换
验证是否ok:将dns需要https化的域名指向刚才添加的slb上,可以通过360浏览器访问验证(如果是可信机构颁发的证书会显示绿色的加锁标志)
②单服务器的配置方法: 即 ios --> app_server 的方式
nginx的配置示例:
将.pem公钥和.key私钥上传到/etc/nginx/sslkey/目录下,并修改配置文件vim /etc/nginx/conf.d/chinasoft.conf server { listen 80; server_name chinasoft.com www.chinasoft.com; listen 443 ssl; # ssl写在443端口后面,这样http和https的链接都可以用 access_log /data/logs/www.chinasoft.com-acceess.log; error_log /data/logs/www.chinasoft.com-error.log; location / { root /var/www/www.chinasoft.com/; index index.php index.html index.htm; } ssl_certificate /etc/nginx/sslkey/chinasoft.pem; ssl_certificate_key /etc/nginx/sslkey/chinasoft.key; error_page 404 = /404/; error_page 500 502 503 504 /50x.html; location = /50x.html { root /usr/share/nginx/html; } # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000 location ~ \.php$ { fastcgi_pass 127.0.0.1:9000; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME /var/www/chinasoft.com/$fastcgi_script_name; include fastcgi_params; } location ~ /\.ht { deny all; } } nginx证书优化的配置:
# cat ssl_test.conf server { listen 443 ssl; server_name es.chinasoft.com; keepalive_timeout 100; ssl on; ssl_session_cache shared:SSL:10m; # 缓存10M,可以大概缓存8000~5W个连接 ssl_session_timeout 10m; ssl_certificate /etc/nginx/ssl_key/yunva.pem; ssl_certificate_key /etc/nginx/ssl_key/yunva.key; index index.html index.htm; location / { root /opt/app/codes/; } }
tomcat的配置示例:
将chinasoft.pfx证书上传到/data/tomcat/sslkey/目录中/conf/server.xml配置示例:
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" keystoreFile="/data/tomcat/sslkey/chinasoft.pfx" keystoreType="pfx-password.txt中的密码" keystorePass="pass" clientAuth="false" sslProtocol="TLS" />
说明文档:
安装证书
Tomcat支持JKS格式证书,从Tomcat7开始也支持PFX格式证书,两种证书格式任选其一。下载包中包含PFX格式证书和密码文件。
PFX证书安装
找到安装 Tomcat 目录下该文件server.xml,一般默认路径都是在 conf 文件夹中。找到 <Connection port="8443" 标签,增加如下属性:
keystoreFile="/你的磁盘目录/订单号.pfx"
keystoreType="PKCS12"
keystorePass="证书密码"
完整的配置如下,其中port属性根据实际情况修改:
<Connector port="8443" protocol="HTTP/1.1" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" keystoreFile="/你的磁盘目录/订单号.pfx" keystoreType="PKCS12" keystorePass="证书密码" sslEnabledProtocols="TLSv1" clientAuth="false" sslProtocol="TLS" />
JKS证书安装
( 1 ) 使用java jdk将PFX格式证书转换为JKS格式证书(windows环境注意在%JAVA_HOME%/jdk/bin目录下执行)
keytool -importkeystore -srckeystore 订单号.pfx -destkeystore your-name.jks -srcstoretype PKCS12 -deststoretype JKS
回车后输入一次PFX证书密码,然后输入两次要设置的JKS证书密码,并牢记此证书密码。
( 2 ) 找到安装 Tomcat 目录下该文件Server.xml,一般默认路径都是在 conf 文件夹中。找到 <Connection port="8443" 标签,增加如下属性:
keystoreFile="/你的磁盘目录/your-name.jks"
keystorePass="证书解压密码"
完整的配置如下,其中port属性根据实际情况修改:
<Connector port="8443" protocol="HTTP/1.1"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
keystoreFile="/你的磁盘目录/your-name.jks"
keystorePass="证书解压密码"
clientAuth="false" sslProtocol="TLS" />
自此,关于证书的申请和在云服务器集群和单机中的应用已告一段落,后面就需要在客户端程序中进行适配性改造了,服务端一般不需要做任何改动
相关文章推荐
- 阿里云slb和ucloud负载均衡ulb添加ssl证书将http服务https化的配置详解
- http服务详解(2)——httpd2.2的配置文件常见设置
- node.js http请求详解和配置服务目录
- HTTP服务应用详解及相关配置
- 阿里云配置ssl证书服务遇到的几个问题和解决方法
- 阿里云apache服务器外网无法访问(配置安全组,添加80服务)
- 阿里云SLB配置http跳转https
- cron自动调度服务配置详解
- 详解LINUX下的重要服务之DNS配置
- Linux学习笔记:REHL AS4的上网配置,Http服务安装及配置,ftp服务的安装及配置
- Windows 网络服务架构系列课程详解(一) ----DHCP服务器的搭建与配置
- [导入]XML for Analysis(XMLA)开发详解-(3)各版本的SQL Server及Windows下配置XMLA over HTTP访问SASS(OLAP)的文档合集
- Windows 网络服务架构系列课程详解(二) ----DNS服务器的部署与配置 推荐
- Cron服务配置详解
- apache配置文件:http.conf配置详解
- http.conf配置文件详解
- 2008年3月小记(设置Windows服务的依赖关系,配置MSMQ的访问权限,WCF的安全配置,删除重建网站,HttpWebRequest,一年中的周,在WCF中使用HttpContext,String.Join)