說在前面的話:
突然接到這么一個(gè)任務(wù),將多個(gè)域名的訪問必須使用https的轉(zhuǎn)發(fā)訪問��,其實(shí)對(duì)Niginx的使用很簡(jiǎn)單����,文檔也很齊全(不管是騰訊云還是阿里云),入坑的原因是對(duì)Niginx服務(wù)器的陌生和走的彎路���。
1.彎路:Tomcat支持SSL
騰訊云Tomcat服務(wù)器證書配置
修改server.xml文件
<Connector
port="443"
protocol="org.apache.coyote.http11.Http11NioProtocol"
SSLEnabled="true"
scheme="https"
secure="true"
keystoreFile="conf\ssl\生產(chǎn)的證書名稱我使用相對(duì)路徑.jks"
keystoreType="JKS"
keystorePass="證書對(duì)應(yīng)的密碼"
clientAuth="false"
sslProtocol="TLSv1+TLSv1.1+TLSv1.2"
maxThreads="150" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256">
</Connector>
<!-- Define an AJP 1.3 Connector on port 8009 -->
<Connector port="8209" protocol="AJP/1.3" redirectPort="8443" secretRequired="" useBodyEncodingForURI="true" URIEncoding="UTF-8"/>
keystoreType="JKS":請(qǐng)注意該配置跟阿里云的不一樣�����,記得修改
<Engine defaultHost="我的域名" name="Catalina" jvmRoute="tomcat1" URIEncoding="UTF-8">
<Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>
<Realm className="org.apache.catalina.realm.LockOutRealm">
<Realm className="org.apache.catalina.realm.UserDatabaseRealm" resourceName="UserDatabase"/>
</Realm>
<Host name="我的域名" appBase="webapps" unpackWARs="true" autoDeploy="true">
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
prefix="localhost_access_log" suffix=".txt"
pattern="%h %l %u %t "%r" %s %b" />
</Host>
</Engine>
聽同事說���,配置就好了,入坑的地方也是���,服務(wù)器啟動(dòng)完畢之后443端口也被占用了����,真的好坑好坑����,如果不需要轉(zhuǎn)發(fā)的時(shí)候,可以使用改配置�����。
啟動(dòng)nginx 不成功bind() to 0.0.0.0:443 failed (10013: An attempt was made to access a socket in a way forbidden by its access permissions
2.言歸正傳
2.1 需求概述
當(dāng)在一個(gè)服務(wù)器(騰訊云的服務(wù)器的IP地址)部署多個(gè)服務(wù)���,不同服務(wù)需要通過不同域名訪問時(shí)����,可以通過Nginx代理進(jìn)行域名轉(zhuǎn)發(fā)�����,同時(shí)還可以通過配置SSL模塊實(shí)現(xiàn)https訪問�����。(我的服務(wù)器使用window系統(tǒng)����,如果沒有SSL模塊需要自行開啟,默認(rèn)是支持的)
在一個(gè)服務(wù)器同時(shí)部署3個(gè)服務(wù):服務(wù)A�����,服務(wù)B和服務(wù)C,服務(wù)需配置以下域名:
- pangsir01.domain.com域名對(duì)應(yīng)服務(wù)A�;
- pangsir02.domain.com域名對(duì)應(yīng)服務(wù)B;
- pangsir03.domain.com域名對(duì)應(yīng)服務(wù)C���;
服務(wù)通過https訪問����,http請(qǐng)求重定向至https����。
2.2 服務(wù)代理設(shè)置
配置Nginx監(jiān)聽443端口(==我因?yàn)門omcat的配置,在這里卡了半天��,不成功==)�����,實(shí)現(xiàn)域名轉(zhuǎn)發(fā)和https訪問����,本示例使用的證書是crt格式證書
(1)服務(wù)A的配置
server {
listen 443 ssl; #監(jiān)聽端口,Nginx1.5后推薦使用
server_name pangsir01.domain.com; #請(qǐng)求域名
ssl_certificate ssl/證書名稱A.crt; #crt證書路徑,存放位置Nginx的conf/ssl文件夾下�����,可以使用絕對(duì)路徑
ssl_certificate_key ssl/證書名稱A.key; #crt證書key路徑
ssl_session_timeout 5m; #會(huì)話超時(shí)時(shí)間
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL協(xié)議
# 攔截所有請(qǐng)求
location / {
proxy_http_version 1.1; #代理使用的http協(xié)議
proxy_set_header Host $host; #header添加請(qǐng)求host信息
proxy_set_header X-Real-IP $remote_addr; # header增加請(qǐng)求來源IP信息
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理記錄
proxy_pass http://127.0.0.1:8001; #服務(wù)A訪問地址
}
}
(2)服務(wù)B的配置
server {
listen 443 ssl; #監(jiān)聽端口���,Nginx1.5后推薦使用
server_name pangsir02.domain.com; #請(qǐng)求域名
ssl_certificate ssl/證書名稱B.crt; #crt證書路徑,存放位置Nginx的conf/ssl文件夾下�,可以使用絕對(duì)路徑
ssl_certificate_key ssl/證書名稱B.key; #crt證書key路徑
ssl_session_timeout 5m; #會(huì)話超時(shí)時(shí)間
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL協(xié)議
# 攔截所有請(qǐng)求
location / {
proxy_http_version 1.1; #代理使用的http協(xié)議
proxy_set_header Host $host; #header添加請(qǐng)求host信息
proxy_set_header X-Real-IP $remote_addr; # header增加請(qǐng)求來源IP信息
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理記錄
proxy_pass http://127.0.0.1:8002; #服務(wù)B訪問地址
}
}
(3)服務(wù)C的配置
server {
listen 443 ssl; #監(jiān)聽端口���,Nginx1.5后推薦使用
server_name pangsir03.domain.com; #請(qǐng)求域名
ssl_certificate ssl/證書名稱C.crt; #crt證書路徑,存放位置Nginx的conf/ssl文件夾下��,可以使用絕對(duì)路徑
ssl_certificate_key ssl/證書名稱C.key; #crt證書key路徑
ssl_session_timeout 5m; #會(huì)話超時(shí)時(shí)間
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL協(xié)議
# 攔截所有請(qǐng)求
location / {
proxy_http_version 1.1; #代理使用的http協(xié)議
proxy_set_header Host $host; #header添加請(qǐng)求host信息
proxy_set_header X-Real-IP $remote_addr; # header增加請(qǐng)求來源IP信息
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理記錄
proxy_pass http://127.0.0.1:8003; #服務(wù)B訪問地址
}
}
2.3 http請(qǐng)求自動(dòng)轉(zhuǎn)發(fā)
增加server配置����,監(jiān)聽80端口��,對(duì)所有域名進(jìn)行https重定向
server {
listen 80; #監(jiān)聽端口
server_name a.domain.com b.domain.com c.domain.com; #請(qǐng)求域名
return 301 https://$host$request_uri; #重定向至https訪問�����。
}
我的需求到這里就搞定了�����,下面的內(nèi)容屬于擴(kuò)展內(nèi)容����,記錄一下
3.WebSocket的SSL配置
假如服務(wù)A中使用到websocket(訪問接口為:/websocket)��,需要將ws協(xié)議更換為wss協(xié)議���,可在服務(wù)A的server配置中增加一個(gè)location配置,攔截websocket進(jìn)行單獨(dú)代理���。
服務(wù)A的配置����,修改后:
server {
listen 443 ssl; #監(jiān)聽端口
server_name pangsir01.domain.com; #請(qǐng)求域名
ssl_certificate ssl/證書名稱A.crt; #crt證書路徑
ssl_certificate_key ssl/證書名稱A.key; #crt證書key路徑
ssl_session_timeout 5m; #會(huì)話超時(shí)時(shí)間
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL協(xié)議
# 攔截所有請(qǐng)求
location / {
proxy_http_version 1.1; #代理使用的http協(xié)議
proxy_set_header Host $host; #header添加請(qǐng)求host信息
proxy_set_header X-Real-IP $remote_addr; # header增加請(qǐng)求來源IP信息
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理記錄
proxy_pass http://127.0.0.1:8001; #服務(wù)A訪問地址
}
# 攔截websocket請(qǐng)求
location /websocket {
proxy_pass http://127.0.0.1:8001;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}
}
到此這篇關(guān)于Nginx域名轉(zhuǎn)發(fā)https訪問的實(shí)現(xiàn)的文章就介紹到這了,更多相關(guān)Nginx域名轉(zhuǎn)發(fā)https訪問內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家��!
