Nginx域名转发https访问的实现


Posted in Servers onMarch 31, 2021

说在前面的话:

突然接到这么一个任务,将多个域名的访问必须使用https的转发访问,其实对Niginx的使用很简单,文档也很齐全(不管是腾讯云还是阿里云),入坑的原因是对Niginx服务器的陌生和走的弯路。

1.弯路:Tomcat支持SSL

腾讯云Tomcat服务器证书配置

修改server.xml文件

<Connector 
   port="443" 
   protocol="org.apache.coyote.http11.Http11NioProtocol" 
   SSLEnabled="true" 
   scheme="https" 
   secure="true" 
   keystoreFile="conf\ssl\生产的证书名称我使用相对路径.jks" 
   keystoreType="JKS" 
   keystorePass="证书对应的密码" 
   clientAuth="false" 
   sslProtocol="TLSv1+TLSv1.1+TLSv1.2"
   maxThreads="150" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256">
</Connector>

<!-- Define an AJP 1.3 Connector on port 8009 -->
<Connector port="8209" protocol="AJP/1.3" redirectPort="8443" secretRequired="" useBodyEncodingForURI="true" URIEncoding="UTF-8"/>

keystoreType="JKS":请注意该配置跟阿里云的不一样,记得修改

<Engine defaultHost="我的域名" name="Catalina" jvmRoute="tomcat1" URIEncoding="UTF-8">
 <Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>
 <Realm className="org.apache.catalina.realm.LockOutRealm">
  <Realm className="org.apache.catalina.realm.UserDatabaseRealm" resourceName="UserDatabase"/>
 </Realm>
 <Host name="我的域名" appBase="webapps" unpackWARs="true" autoDeploy="true">
  <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
    prefix="localhost_access_log" suffix=".txt"
    pattern="%h %l %u %t &quot;%r&quot; %s %b" />
 </Host>
</Engine>

听同事说,配置就好了,入坑的地方也是,服务器启动完毕之后443端口也被占用了,真的好坑好坑,如果不需要转发的时候,可以使用改配置。

启动nginx 不成功bind() to 0.0.0.0:443 failed (10013: An attempt was made to access a socket in a way forbidden by its access permissions

2.言归正传

2.1 需求概述

当在一个服务器(腾讯云的服务器的IP地址)部署多个服务,不同服务需要通过不同域名访问时,可以通过Nginx代理进行域名转发,同时还可以通过配置SSL模块实现https访问。(我的服务器使用window系统,如果没有SSL模块需要自行开启,默认是支持的)

在一个服务器同时部署3个服务:服务A,服务B和服务C,服务需配置以下域名:

  • pangsir01.domain.com域名对应服务A;
  • pangsir02.domain.com域名对应服务B;
  • pangsir03.domain.com域名对应服务C;

服务通过https访问,http请求重定向至https。

2.2 服务代理设置

配置Nginx监听443端口(==我因为Tomcat的配置,在这里卡了半天,不成功==),实现域名转发和https访问,本示例使用的证书是crt格式证书

(1)服务A的配置

server {
 listen 443 ssl; #监听端口,Nginx1.5后推荐使用
 server_name pangsir01.domain.com; #请求域名
 ssl_certificate ssl/证书名称A.crt; #crt证书路径,存放位置Nginx的conf/ssl文件夹下,可以使用绝对路径
 ssl_certificate_key  ssl/证书名称A.key; #crt证书key路径
 ssl_session_timeout  5m; #会话超时时间
 ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL协议

 # 拦截所有请求
 location / {
  proxy_http_version 1.1; #代理使用的http协议
  proxy_set_header Host $host; #header添加请求host信息
  proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录
  proxy_pass http://127.0.0.1:8001; #服务A访问地址
 }
}

(2)服务B的配置

server {
 listen 443 ssl; #监听端口,Nginx1.5后推荐使用
 server_name pangsir02.domain.com; #请求域名
 ssl_certificate ssl/证书名称B.crt; #crt证书路径,存放位置Nginx的conf/ssl文件夹下,可以使用绝对路径
 ssl_certificate_key  ssl/证书名称B.key; #crt证书key路径
 ssl_session_timeout  5m; #会话超时时间
 ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL协议

 # 拦截所有请求
 location / {
  proxy_http_version 1.1; #代理使用的http协议
  proxy_set_header Host $host; #header添加请求host信息
  proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录
  proxy_pass http://127.0.0.1:8002; #服务B访问地址
 }
}

(3)服务C的配置

server {
 listen 443 ssl; #监听端口,Nginx1.5后推荐使用
 server_name pangsir03.domain.com; #请求域名
 ssl_certificate ssl/证书名称C.crt; #crt证书路径,存放位置Nginx的conf/ssl文件夹下,可以使用绝对路径
 ssl_certificate_key  ssl/证书名称C.key; #crt证书key路径
 ssl_session_timeout  5m; #会话超时时间
 ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL协议

 # 拦截所有请求
 location / {
  proxy_http_version 1.1; #代理使用的http协议
  proxy_set_header Host $host; #header添加请求host信息
  proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录
  proxy_pass http://127.0.0.1:8003; #服务B访问地址
 }
}

2.3 http请求自动转发

增加server配置,监听80端口,对所有域名进行https重定向

server {
 listen  80; #监听端口
 server_name a.domain.com b.domain.com c.domain.com; #请求域名
 return  301 https://$host$request_uri; #重定向至https访问。
}

我的需求到这里就搞定了,下面的内容属于扩展内容,记录一下

3.WebSocket的SSL配置

假如服务A中使用到websocket(访问接口为:/websocket),需要将ws协议更换为wss协议,可在服务A的server配置中增加一个location配置,拦截websocket进行单独代理。

服务A的配置,修改后:

server {
  listen 443 ssl; #监听端口
  server_name pangsir01.domain.com; #请求域名
  ssl_certificate ssl/证书名称A.crt; #crt证书路径
  ssl_certificate_key  ssl/证书名称A.key; #crt证书key路径
  ssl_session_timeout  5m; #会话超时时间
  ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL协议

  # 拦截所有请求
  location / {
   proxy_http_version 1.1; #代理使用的http协议
   proxy_set_header Host $host; #header添加请求host信息
   proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息
   proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录
   proxy_pass http://127.0.0.1:8001; #服务A访问地址
  }
  
  # 拦截websocket请求
  location /websocket {
   proxy_pass http://127.0.0.1:8001;
   proxy_http_version 1.1;
   proxy_set_header Upgrade $http_upgrade;
   proxy_set_header Connection "upgrade";
  }
 }

到此这篇关于Nginx域名转发https访问的实现的文章就介绍到这了,更多相关Nginx域名转发https访问内容请搜索三水点靠木以前的文章或继续浏览下面的相关文章希望大家以后多多支持三水点靠木!

Servers 相关文章推荐
详解如何修改nginx的默认端口
Mar 31 Servers
基于nginx实现上游服务器动态自动上下线无需reload的实现方法
Mar 31 Servers
Nginx Rewrite使用场景及配置方法解析
Apr 01 Servers
windows下快速安装nginx并配置开机自启动的方法
May 11 Servers
nginx安装以及配置的详细过程记录
Sep 15 Servers
Nginx反向代理学习实例教程
Oct 24 Servers
Shell脚本一键安装Nginx服务自定义Nginx版本
Mar 20 Servers
Apache SeaTunnel实现 非CDC数据抽取
May 20 Servers
解决Vmware虚拟机安装centos8报错“Section %Packages Does Not End With %End. Pane Is Dead”
Jun 01 Servers
使用 DataAnt 监控 Apache APISIX的原理解析
Jul 07 Servers
GPU服务器的多用户配置方法
Jul 07 Servers
教你使用RustDesk 搭建一个自己的远程桌面中继服务器
Aug 14 Servers
Nginx本地目录映射实现代码实例
Mar 31 #Servers
nginx 防盗链防爬虫配置详解
Mar 31 #Servers
Nginx服务器如何设置url链接
nginx搭建图片服务器的过程详解(root和alias的区别)
Mar 31 #Servers
Nginx代理同域名前后端分离项目的完整步骤
Mar 31 #Servers
Nginx+SpringBoot实现负载均衡的示例
win10安装配置nginx的过程
You might like
PHP 反射机制实现动态代理的代码
2008/10/22 PHP
PHP实现数组递归转义的方法
2014/08/28 PHP
PHP基于imagick扩展实现合成图片的两种方法【附imagick扩展下载】
2017/11/14 PHP
[原创]js与自动伸缩图片 自动缩小图片的多浏览器兼容的方法总结
2007/03/12 Javascript
Bootstrap每天必学之附加导航(Affix)插件
2016/04/25 Javascript
jQuery基于扩展简单实现倒计时功能的方法
2016/05/14 Javascript
JavaScript 对象字面量讲解
2016/06/06 Javascript
BOM系列第二篇之定时器requestAnimationFrame
2016/08/17 Javascript
使用DataTable插件实现异步加载数据
2017/11/19 Javascript
vue.js简单配置axios的方法详解
2017/12/13 Javascript
详解使用VUE搭建后台管理系统(vue-cli更新至3.0)
2018/08/22 Javascript
利用hasOwnProperty给数组去重的面试题分享
2018/11/05 Javascript
react-router 路由切换动画的实现示例
2018/12/03 Javascript
node.js中ws模块创建服务端和客户端,网页WebSocket客户端
2019/03/06 Javascript
webpack4 从零学习常用配置(小结)
2019/05/28 Javascript
深入浅析ng-bootstrap 组件集中 tabset 组件的实现分析
2019/07/19 Javascript
Vue解析带html标签的字符串为dom的实例
2019/11/13 Javascript
Vue生命周期activated之返回上一页不重新请求数据操作
2020/07/26 Javascript
JQuery+drag.js上传图片并且实现图片拖曳
2020/11/18 jQuery
vue+element实现动态加载表单
2020/12/13 Vue.js
Nest.js散列与加密实例详解
2021/02/24 Javascript
[02:36]DOTA2亚洲邀请赛小组赛精彩集锦:EE凭借法力虚空拿下4杀
2017/03/30 DOTA
详解python中requirements.txt的一切
2017/03/03 Python
python-str,list,set间的转换实例
2018/06/27 Python
python3利用tcp实现文件夹远程传输
2018/07/28 Python
python中的subprocess.Popen()使用详解
2019/12/25 Python
Python爬虫之Selenium鼠标事件的实现
2020/12/04 Python
解决python3输入的坑——input()
2020/12/05 Python
python3 kubernetes api的使用示例
2021/01/12 Python
详解Python模块化编程与装饰器
2021/01/16 Python
打架检讨书2000字
2014/02/22 职场文书
让子弹飞观后感
2015/06/11 职场文书
六五普法心得体会2016
2016/01/21 职场文书
请假条应该怎么写?
2019/06/24 职场文书
python内置进制转换函数的操作
2021/06/02 Python
简述Java中throw-throws异常抛出
2021/08/07 Java/Android