Nginx域名转发https访问的实现


Posted in Servers onMarch 31, 2021

说在前面的话:

突然接到这么一个任务,将多个域名的访问必须使用https的转发访问,其实对Niginx的使用很简单,文档也很齐全(不管是腾讯云还是阿里云),入坑的原因是对Niginx服务器的陌生和走的弯路。

1.弯路:Tomcat支持SSL

腾讯云Tomcat服务器证书配置

修改server.xml文件

<Connector 
   port="443" 
   protocol="org.apache.coyote.http11.Http11NioProtocol" 
   SSLEnabled="true" 
   scheme="https" 
   secure="true" 
   keystoreFile="conf\ssl\生产的证书名称我使用相对路径.jks" 
   keystoreType="JKS" 
   keystorePass="证书对应的密码" 
   clientAuth="false" 
   sslProtocol="TLSv1+TLSv1.1+TLSv1.2"
   maxThreads="150" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256">
</Connector>

<!-- Define an AJP 1.3 Connector on port 8009 -->
<Connector port="8209" protocol="AJP/1.3" redirectPort="8443" secretRequired="" useBodyEncodingForURI="true" URIEncoding="UTF-8"/>

keystoreType="JKS":请注意该配置跟阿里云的不一样,记得修改

<Engine defaultHost="我的域名" name="Catalina" jvmRoute="tomcat1" URIEncoding="UTF-8">
 <Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>
 <Realm className="org.apache.catalina.realm.LockOutRealm">
  <Realm className="org.apache.catalina.realm.UserDatabaseRealm" resourceName="UserDatabase"/>
 </Realm>
 <Host name="我的域名" appBase="webapps" unpackWARs="true" autoDeploy="true">
  <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
    prefix="localhost_access_log" suffix=".txt"
    pattern="%h %l %u %t &quot;%r&quot; %s %b" />
 </Host>
</Engine>

听同事说,配置就好了,入坑的地方也是,服务器启动完毕之后443端口也被占用了,真的好坑好坑,如果不需要转发的时候,可以使用改配置。

启动nginx 不成功bind() to 0.0.0.0:443 failed (10013: An attempt was made to access a socket in a way forbidden by its access permissions

2.言归正传

2.1 需求概述

当在一个服务器(腾讯云的服务器的IP地址)部署多个服务,不同服务需要通过不同域名访问时,可以通过Nginx代理进行域名转发,同时还可以通过配置SSL模块实现https访问。(我的服务器使用window系统,如果没有SSL模块需要自行开启,默认是支持的)

在一个服务器同时部署3个服务:服务A,服务B和服务C,服务需配置以下域名:

  • pangsir01.domain.com域名对应服务A;
  • pangsir02.domain.com域名对应服务B;
  • pangsir03.domain.com域名对应服务C;

服务通过https访问,http请求重定向至https。

2.2 服务代理设置

配置Nginx监听443端口(==我因为Tomcat的配置,在这里卡了半天,不成功==),实现域名转发和https访问,本示例使用的证书是crt格式证书

(1)服务A的配置

server {
 listen 443 ssl; #监听端口,Nginx1.5后推荐使用
 server_name pangsir01.domain.com; #请求域名
 ssl_certificate ssl/证书名称A.crt; #crt证书路径,存放位置Nginx的conf/ssl文件夹下,可以使用绝对路径
 ssl_certificate_key  ssl/证书名称A.key; #crt证书key路径
 ssl_session_timeout  5m; #会话超时时间
 ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL协议

 # 拦截所有请求
 location / {
  proxy_http_version 1.1; #代理使用的http协议
  proxy_set_header Host $host; #header添加请求host信息
  proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录
  proxy_pass http://127.0.0.1:8001; #服务A访问地址
 }
}

(2)服务B的配置

server {
 listen 443 ssl; #监听端口,Nginx1.5后推荐使用
 server_name pangsir02.domain.com; #请求域名
 ssl_certificate ssl/证书名称B.crt; #crt证书路径,存放位置Nginx的conf/ssl文件夹下,可以使用绝对路径
 ssl_certificate_key  ssl/证书名称B.key; #crt证书key路径
 ssl_session_timeout  5m; #会话超时时间
 ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL协议

 # 拦截所有请求
 location / {
  proxy_http_version 1.1; #代理使用的http协议
  proxy_set_header Host $host; #header添加请求host信息
  proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录
  proxy_pass http://127.0.0.1:8002; #服务B访问地址
 }
}

(3)服务C的配置

server {
 listen 443 ssl; #监听端口,Nginx1.5后推荐使用
 server_name pangsir03.domain.com; #请求域名
 ssl_certificate ssl/证书名称C.crt; #crt证书路径,存放位置Nginx的conf/ssl文件夹下,可以使用绝对路径
 ssl_certificate_key  ssl/证书名称C.key; #crt证书key路径
 ssl_session_timeout  5m; #会话超时时间
 ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL协议

 # 拦截所有请求
 location / {
  proxy_http_version 1.1; #代理使用的http协议
  proxy_set_header Host $host; #header添加请求host信息
  proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录
  proxy_pass http://127.0.0.1:8003; #服务B访问地址
 }
}

2.3 http请求自动转发

增加server配置,监听80端口,对所有域名进行https重定向

server {
 listen  80; #监听端口
 server_name a.domain.com b.domain.com c.domain.com; #请求域名
 return  301 https://$host$request_uri; #重定向至https访问。
}

我的需求到这里就搞定了,下面的内容属于扩展内容,记录一下

3.WebSocket的SSL配置

假如服务A中使用到websocket(访问接口为:/websocket),需要将ws协议更换为wss协议,可在服务A的server配置中增加一个location配置,拦截websocket进行单独代理。

服务A的配置,修改后:

server {
  listen 443 ssl; #监听端口
  server_name pangsir01.domain.com; #请求域名
  ssl_certificate ssl/证书名称A.crt; #crt证书路径
  ssl_certificate_key  ssl/证书名称A.key; #crt证书key路径
  ssl_session_timeout  5m; #会话超时时间
  ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL协议

  # 拦截所有请求
  location / {
   proxy_http_version 1.1; #代理使用的http协议
   proxy_set_header Host $host; #header添加请求host信息
   proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息
   proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录
   proxy_pass http://127.0.0.1:8001; #服务A访问地址
  }
  
  # 拦截websocket请求
  location /websocket {
   proxy_pass http://127.0.0.1:8001;
   proxy_http_version 1.1;
   proxy_set_header Upgrade $http_upgrade;
   proxy_set_header Connection "upgrade";
  }
 }

到此这篇关于Nginx域名转发https访问的实现的文章就介绍到这了,更多相关Nginx域名转发https访问内容请搜索三水点靠木以前的文章或继续浏览下面的相关文章希望大家以后多多支持三水点靠木!

Servers 相关文章推荐
Nginx的rewrite模块详解
Mar 31 Servers
阿里云Nginx配置https实现域名访问项目(图文教程)
Mar 31 Servers
扩展多台相同的Web服务器
Apr 01 Servers
nginx配置文件使用环境变量的操作方法
Jun 02 Servers
Nginx反向代理至go-fastdfs案例讲解
Aug 02 Servers
nginx location 带斜杠【 / 】与不带的区别
Apr 13 Servers
Window server 2012 R2 AD域的组策略相关设置
Apr 28 Servers
Vscode中SSH插件如何远程连接Linux
May 02 Servers
nginx代理实现静态资源访问的示例代码
Jul 07 Servers
Windows7下FTP搭建图文教程
Aug 05 Servers
Flink 侧流输出源码示例解析
Sep 23 Servers
keepalived + nginx 实现高可用方案
Dec 24 Servers
Nginx本地目录映射实现代码实例
Mar 31 #Servers
nginx 防盗链防爬虫配置详解
Mar 31 #Servers
Nginx服务器如何设置url链接
nginx搭建图片服务器的过程详解(root和alias的区别)
Mar 31 #Servers
Nginx代理同域名前后端分离项目的完整步骤
Mar 31 #Servers
Nginx+SpringBoot实现负载均衡的示例
win10安装配置nginx的过程
You might like
使用字符串函数输出整数化的PHP版本号
2006/10/09 PHP
PHP中一个控制字符串输出的函数
2006/10/09 PHP
浅析使用Turck-mmcache编译来加速、优化PHP代码
2013/06/20 PHP
PHP根据两点间的经纬度计算距离
2014/10/31 PHP
完美解决phpexcel导出到xls文件出现乱码的问题
2016/10/29 PHP
Laravel学习教程之View模块详解
2017/09/18 PHP
phpstorm最新激活码分享亲测phpstorm2020.2.3版可用
2020/11/22 PHP
javascript eval和JSON之间的联系
2009/12/31 Javascript
js弹出层永远居中实现思路及代码
2013/11/29 Javascript
jQuery中:input选择器用法实例
2015/01/03 Javascript
NodeJs基本语法和类型
2015/02/13 NodeJs
javascript中利用柯里化函数实现bind方法【推荐】
2016/04/29 Javascript
详解原生JavaScript实现jQuery中AJAX处理的方法
2016/05/10 Javascript
微信JS-SDK坐标位置如何转换为百度地图坐标
2016/07/04 Javascript
JavaScript实现页面定时刷新(定时器,meta)
2016/10/12 Javascript
nodejs实现超简单生成二维码的方法
2018/03/17 NodeJs
解决vue router组件状态刷新消失的问题
2018/08/01 Javascript
基于bootstrap页面渲染的问题解决方法
2018/08/09 Javascript
vue基于element-ui的三级CheckBox复选框功能的实现代码
2018/10/15 Javascript
微信小程序 组件的外部样式externalClasses使用详解
2019/09/06 Javascript
node-red File读取好保存实例讲解
2019/09/11 Javascript
解决ant Design中this.props.form.validateFields未执行的问题
2020/10/27 Javascript
[02:04]2014DOTA2国际邀请赛 DK一个时代的落幕
2014/07/21 DOTA
python中pandas.DataFrame对行与列求和及添加新行与列示例
2017/03/12 Python
Python的装饰器使用详解
2017/06/26 Python
浅谈关于Python3中venv虚拟环境
2018/08/01 Python
pygame编写音乐播放器的实现代码示例
2019/11/19 Python
python使用pygame实现笑脸乒乓球弹珠球游戏
2019/11/25 Python
python高阶函数map()和reduce()实例解析
2020/03/16 Python
python datetime处理时间小结
2020/04/16 Python
python怎么提高计算速度
2020/06/11 Python
Python基于正则表达式实现计算器功能
2020/07/13 Python
abstract是什么意思
2012/02/12 面试题
教育学专业实习生的自我鉴定
2013/11/26 职场文书
《一面五星红旗》教学反思
2016/02/23 职场文书
Python获取百度热搜的完整代码
2021/04/07 Python