背景
現(xiàn)在公司項目都是前后端分離的方式開發(fā)���,有些時候由于某些新需求開發(fā)或者 bug 修改,想要讓前端直接連到我本地開發(fā)環(huán)境進行調(diào)試�����,而前端代碼我并沒有����,只能通過前端部署的測試環(huán)境進行測試,最簡單的辦法就是直接改 host 把后端測試環(huán)境的域名指向我本地的 IP���,這對于 HTTP 協(xié)議的服務(wù)來說是很輕易做到的��,不過公司的測試環(huán)境全部上了 HTTPS��,而我本地的服務(wù)是 HTTP 協(xié)議這樣就算是改了 host 也會由于協(xié)議不同導致請求失敗���,所以需要將本地的服務(wù)升級成 HTTPS 才行�����。
方案
其實 springboot 本身就支持 HTTPS(howto-configure-ssl),但是這需要改項目代碼不太優(yōu)雅��,于是就想直接用nginx反向代理到本地服務(wù)���,這樣在nginx層面做 HTTPS 就不需要改代碼了�����,只需修改 host 將后端測試環(huán)境域名指向 nginx 服務(wù)的 IP 即可���,而且可以適用于其它的 HTTP 服務(wù)開發(fā)調(diào)試。
簽發(fā)證書
首先要生成一套證書用于 nginx 的 ssl 配置�,直接使用openssl工具生成一套根證書和對應(yīng)的服務(wù)證書。
根證書生成
# 生成一個RSA私鑰
openssl genrsa -out root.key 2048
# 通過私鑰生成一個根證書
openssl req -sha256 -new -x509 -days 365 -key root.key -out root.crt \
-subj "/C=CN/ST=GD/L=SZ/O=lee/OU=work/CN=fakerRoot"
服務(wù)器證書生成
# 生成一個RSA私鑰
openssl genrsa -out server.key 2048
# 生成一個帶SAN擴展的證書簽名請求文件
openssl req -new \
-sha256 \
-key server.key \
-subj "/C=CN/ST=GD/L=SZ/O=lee/OU=work/CN=xxx.com" \
-reqexts SAN \
-config <(cat /etc/pki/tls/openssl.cnf \
<(printf "[SAN]\nsubjectAltName=DNS:*.xxx.com,DNS:*.test.xxx.com")) \
-out server.csr
# 使用之前生成的根證書做簽發(fā)
openssl ca -in server.csr \
-md sha256 \
-keyfile root.key \
-cert root.crt \
-extensions SAN \
-config <(cat /etc/pki/tls/openssl.cnf \
<(printf "[SAN]\nsubjectAltName=DNS:xxx.com,DNS:*.test.xxx.com")) \
-out server.crt
這樣就得到了三個關(guān)鍵文件:
root.crt:根證書server.key:服務(wù)證書私鑰server.crt:服務(wù)證書
注:生成的服務(wù)器證書域名要支持測試環(huán)境訪問的域名��,否則瀏覽器會提示證書不安全���。
nginx 配置
為了方便�,直接使用docker啟動了一個 nginx 容器進行訪問,并將證書和配置文件掛載到對應(yīng)的目錄:
nginx.conf
server {
listen 443 ssl;
server_name _;
ssl_certificate "/usr/local/nginx/ssl/server.pem";
ssl_certificate_key "/usr/local/nginx/ssl/server.key";
location / {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $http_host;
proxy_set_header X-NginX-Proxy true;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_pass http://127.0.0.1:3000;
proxy_redirect off;
proxy_http_version 1.1;
}
}
通過配置ssl_certificate和ssl_certificate_key來指定服務(wù)器的證書和私鑰��,proxy_pass指定開發(fā)環(huán)境的訪問地址�����。
啟動
docker run -d --name https -p 443:443 -v ~/forword/ssl:/usr/local/nginx/ssl -v ~/forword/config/nginx.conf:/etc/nginx/conf.d/default.conf nginx
將 nginx 配置和證書相關(guān)文件掛載至對應(yīng)的目錄���,并暴露 443 端口�����,這樣服務(wù)啟動后即可通過 https 訪問到本地開發(fā)環(huán)境了��。
安裝根證書
由于服務(wù)證書是自己簽發(fā)的�����,并不會被瀏覽器所信任�����,所以需要將根證書安裝至操作系統(tǒng)中�����。
打開 chrome 瀏覽器->設(shè)置->高級->管理證書
受信任的根證書頒發(fā)機構(gòu)->導入
選擇之前生成的根證書root.crt導入即可
修改 host
在需要調(diào)試時���,只需要將本地服務(wù)啟動�����,再將 host 中將要測試的域名解析到nginx服務(wù)器的 IP�����,即可將前端請求轉(zhuǎn)發(fā)到開發(fā)環(huán)境上,通過瀏覽器地址欄的小鎖圖標可以看到證書��,已驗證服務(wù)已經(jīng)部署成功����。
后記
本文中其實已經(jīng)提到了兩種解決方案了,其實還有其它的解決方案����,例如使用fidder這種中間人攻擊的方式來實現(xiàn),這里就不做多敘了���。
以上就是本文的全部內(nèi)容��,希望對大家的學習有所幫助��,也希望大家多多支持腳本之家�。
