Nginx域名转发https访问的实现


Posted in Servers onMarch 31, 2021

说在前面的话:

突然接到这么一个任务,将多个域名的访问必须使用https的转发访问,其实对Niginx的使用很简单,文档也很齐全(不管是腾讯云还是阿里云),入坑的原因是对Niginx服务器的陌生和走的弯路。

1.弯路:Tomcat支持SSL

腾讯云Tomcat服务器证书配置

修改server.xml文件

<Connector 
   port="443" 
   protocol="org.apache.coyote.http11.Http11NioProtocol" 
   SSLEnabled="true" 
   scheme="https" 
   secure="true" 
   keystoreFile="conf\ssl\生产的证书名称我使用相对路径.jks" 
   keystoreType="JKS" 
   keystorePass="证书对应的密码" 
   clientAuth="false" 
   sslProtocol="TLSv1+TLSv1.1+TLSv1.2"
   maxThreads="150" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256">
</Connector>

<!-- Define an AJP 1.3 Connector on port 8009 -->
<Connector port="8209" protocol="AJP/1.3" redirectPort="8443" secretRequired="" useBodyEncodingForURI="true" URIEncoding="UTF-8"/>

keystoreType="JKS":请注意该配置跟阿里云的不一样,记得修改

<Engine defaultHost="我的域名" name="Catalina" jvmRoute="tomcat1" URIEncoding="UTF-8">
 <Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>
 <Realm className="org.apache.catalina.realm.LockOutRealm">
  <Realm className="org.apache.catalina.realm.UserDatabaseRealm" resourceName="UserDatabase"/>
 </Realm>
 <Host name="我的域名" appBase="webapps" unpackWARs="true" autoDeploy="true">
  <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
    prefix="localhost_access_log" suffix=".txt"
    pattern="%h %l %u %t &quot;%r&quot; %s %b" />
 </Host>
</Engine>

听同事说,配置就好了,入坑的地方也是,服务器启动完毕之后443端口也被占用了,真的好坑好坑,如果不需要转发的时候,可以使用改配置。

启动nginx 不成功bind() to 0.0.0.0:443 failed (10013: An attempt was made to access a socket in a way forbidden by its access permissions

2.言归正传

2.1 需求概述

当在一个服务器(腾讯云的服务器的IP地址)部署多个服务,不同服务需要通过不同域名访问时,可以通过Nginx代理进行域名转发,同时还可以通过配置SSL模块实现https访问。(我的服务器使用window系统,如果没有SSL模块需要自行开启,默认是支持的)

在一个服务器同时部署3个服务:服务A,服务B和服务C,服务需配置以下域名:

  • pangsir01.domain.com域名对应服务A;
  • pangsir02.domain.com域名对应服务B;
  • pangsir03.domain.com域名对应服务C;

服务通过https访问,http请求重定向至https。

2.2 服务代理设置

配置Nginx监听443端口(==我因为Tomcat的配置,在这里卡了半天,不成功==),实现域名转发和https访问,本示例使用的证书是crt格式证书

(1)服务A的配置

server {
 listen 443 ssl; #监听端口,Nginx1.5后推荐使用
 server_name pangsir01.domain.com; #请求域名
 ssl_certificate ssl/证书名称A.crt; #crt证书路径,存放位置Nginx的conf/ssl文件夹下,可以使用绝对路径
 ssl_certificate_key  ssl/证书名称A.key; #crt证书key路径
 ssl_session_timeout  5m; #会话超时时间
 ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL协议

 # 拦截所有请求
 location / {
  proxy_http_version 1.1; #代理使用的http协议
  proxy_set_header Host $host; #header添加请求host信息
  proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录
  proxy_pass http://127.0.0.1:8001; #服务A访问地址
 }
}

(2)服务B的配置

server {
 listen 443 ssl; #监听端口,Nginx1.5后推荐使用
 server_name pangsir02.domain.com; #请求域名
 ssl_certificate ssl/证书名称B.crt; #crt证书路径,存放位置Nginx的conf/ssl文件夹下,可以使用绝对路径
 ssl_certificate_key  ssl/证书名称B.key; #crt证书key路径
 ssl_session_timeout  5m; #会话超时时间
 ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL协议

 # 拦截所有请求
 location / {
  proxy_http_version 1.1; #代理使用的http协议
  proxy_set_header Host $host; #header添加请求host信息
  proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录
  proxy_pass http://127.0.0.1:8002; #服务B访问地址
 }
}

(3)服务C的配置

server {
 listen 443 ssl; #监听端口,Nginx1.5后推荐使用
 server_name pangsir03.domain.com; #请求域名
 ssl_certificate ssl/证书名称C.crt; #crt证书路径,存放位置Nginx的conf/ssl文件夹下,可以使用绝对路径
 ssl_certificate_key  ssl/证书名称C.key; #crt证书key路径
 ssl_session_timeout  5m; #会话超时时间
 ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL协议

 # 拦截所有请求
 location / {
  proxy_http_version 1.1; #代理使用的http协议
  proxy_set_header Host $host; #header添加请求host信息
  proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录
  proxy_pass http://127.0.0.1:8003; #服务B访问地址
 }
}

2.3 http请求自动转发

增加server配置,监听80端口,对所有域名进行https重定向

server {
 listen  80; #监听端口
 server_name a.domain.com b.domain.com c.domain.com; #请求域名
 return  301 https://$host$request_uri; #重定向至https访问。
}

我的需求到这里就搞定了,下面的内容属于扩展内容,记录一下

3.WebSocket的SSL配置

假如服务A中使用到websocket(访问接口为:/websocket),需要将ws协议更换为wss协议,可在服务A的server配置中增加一个location配置,拦截websocket进行单独代理。

服务A的配置,修改后:

server {
  listen 443 ssl; #监听端口
  server_name pangsir01.domain.com; #请求域名
  ssl_certificate ssl/证书名称A.crt; #crt证书路径
  ssl_certificate_key  ssl/证书名称A.key; #crt证书key路径
  ssl_session_timeout  5m; #会话超时时间
  ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #SSL协议

  # 拦截所有请求
  location / {
   proxy_http_version 1.1; #代理使用的http协议
   proxy_set_header Host $host; #header添加请求host信息
   proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息
   proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录
   proxy_pass http://127.0.0.1:8001; #服务A访问地址
  }
  
  # 拦截websocket请求
  location /websocket {
   proxy_pass http://127.0.0.1:8001;
   proxy_http_version 1.1;
   proxy_set_header Upgrade $http_upgrade;
   proxy_set_header Connection "upgrade";
  }
 }

到此这篇关于Nginx域名转发https访问的实现的文章就介绍到这了,更多相关Nginx域名转发https访问内容请搜索三水点靠木以前的文章或继续浏览下面的相关文章希望大家以后多多支持三水点靠木!

Servers 相关文章推荐
本地通过nginx配置反向代理的全过程记录
Mar 31 Servers
提升Nginx性能的一些建议
Mar 31 Servers
Apache Calcite 实现方言转换的代码
Apr 24 Servers
nginx负载功能+nfs服务器功能解析
Feb 28 Servers
tomcat的catalina.out日志按自定义时间格式进行分割的操作方法
Apr 02 Servers
Linux、ubuntu系统下查看显卡型号、显卡信息详解
Apr 07 Servers
忘记Grafana不要紧2种Grafana重置admin密码方法详细步骤
Apr 07 Servers
使用Nginx的访问日志统计PV与UV
May 06 Servers
Windows server 2012 NTP时间同步的实现
Jun 25 Servers
nginx之内存池的实现
Jun 28 Servers
Apache SkyWalking 监控 MySQL Server 实战解析
Sep 23 Servers
Elasticsearch6.2服务器升配后的bug(避坑指南)
Sep 23 Servers
Nginx本地目录映射实现代码实例
Mar 31 #Servers
nginx 防盗链防爬虫配置详解
Mar 31 #Servers
Nginx服务器如何设置url链接
nginx搭建图片服务器的过程详解(root和alias的区别)
Mar 31 #Servers
Nginx代理同域名前后端分离项目的完整步骤
Mar 31 #Servers
Nginx+SpringBoot实现负载均衡的示例
win10安装配置nginx的过程
You might like
windwos下使用php连接oracle数据库的过程分享
2014/05/26 PHP
php中mysql连接方式PDO使用详解
2015/02/25 PHP
PHP提高编程效率的20个要点
2015/09/23 PHP
PHP实现QQ空间自动回复说说的方法
2015/12/02 PHP
yii2缓存Caching基本用法示例
2016/07/18 PHP
thinkPHP框架实现的无限回复评论功能示例
2018/06/09 PHP
YII2框架使用控制台命令的方法分析
2020/03/18 PHP
javascript引导程序
2008/10/26 Javascript
实现局部遮罩与关闭原理及代码
2013/02/04 Javascript
你必须知道的Javascript知识点之&quot;单线程事件驱动&quot;的使用
2013/04/23 Javascript
jquery获取元素值的方法(常见的表单元素)
2013/11/15 Javascript
jquery实现瀑布流效果分享
2014/03/26 Javascript
javascript动态判断html元素并执行不同的操作
2014/06/16 Javascript
js立即执行函数: (function ( ){})( ) 与 (function ( ){}( )) 有什么区别?
2015/11/18 Javascript
继续学习javascript闭包
2015/12/03 Javascript
jQuery基础_入门必看知识点
2016/07/04 Javascript
AngularJS 中的事件详解
2016/07/28 Javascript
JavaScript解决浮点数计算不准确问题的方法分析
2018/07/09 Javascript
使用layui的router来进行传参的实现方法
2019/09/06 Javascript
jQuery操作元素的内容和样式完整实例分析
2020/01/10 jQuery
[06:14]《辉夜杯》外卡赛附加赛 4支战队巡礼
2015/10/23 DOTA
使用Python编写一个简单的tic-tac-toe游戏的教程
2015/04/16 Python
使用httplib模块来制作Python下HTTP客户端的方法
2015/06/19 Python
Python中的迭代器与生成器高级用法解析
2016/06/28 Python
Python实现解析Bit Torrent种子文件内容的方法
2017/08/29 Python
Python实现分段线性插值
2018/12/17 Python
浅谈tensorflow 中tf.concat()的使用
2020/02/07 Python
django实现将修改好的新模型写入数据库
2020/03/31 Python
使用keras实现孪生网络中的权值共享教程
2020/06/11 Python
大学生职业生涯规划范文
2014/01/08 职场文书
好矿嫂事迹材料
2014/01/21 职场文书
幼儿园教师教育感言
2014/02/28 职场文书
网管求职信
2014/03/03 职场文书
洗车工岗位职责
2014/03/15 职场文书
个人汇报材料范文
2014/12/30 职场文书
护士心得体会范文
2016/01/25 职场文书