2. 程式人生 > >Nginx + Tomcat + HTTPS 配置原來不需要在 Tomcat 上啟用 SSL 支援

Nginx + Tomcat + HTTPS 配置原來不需要在 Tomcat 上啟用 SSL 支援

阿新 發佈:2019-01-07

之前在網上搜索到的很多文章在描述 Nginx + Tomcat 啟用 HTTPS 支援的時候,都必須在 Nginx 和 Tomcat 兩邊同時配置 SSL 支援。但我一直在想為什麼就不能按照下面的方式來配置呢?就是 Nginx 上啟用了 HTTPS,而 Nginx 和 Tomcat 之間走的卻是普通的 HTTP 連線。但是搜尋很多沒有解決辦法,最後還是老老實實的 Nginx 和 Tomcat 同時配置的 SSL 支援。

最近給 OSChina 買了個新的支援 *.oschina.net 泛域名的證書,然後我又開始偷懶的想為什麼 Tomcat 一定要配 HTTPS 呢? 沒道理啊。然後潛心搜尋終於找到了解決方案。原來卻是如此的簡單。

最終配置的方案是瀏覽器和 Nginx 之間走的 HTTPS 通訊,而 Nginx 到 Tomcat 通過 proxy_pass 走的是普通 HTTP 連線。

下面是詳細的配置(Nginx 埠 80/443,Tomcat 的埠 8080):

Nginx 這一側的配置沒什麼特別的:

upstream tomcat {
    server 127.0.0.1:8080 fail_timeout=0;
}

# HTTPS server
server {
    listen       443 ssl;
    server_name  localhost;

    ssl_certificate      /Users/winterlau/Desktop/SSL/oschina.bundle.crt;
    ssl_certificate_key  /Users/winterlau/Desktop/SSL/oschina.key;

    ssl_session_cache    shared:SSL:1m;
    ssl_session_timeout  5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers  on;

    location / {
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $http_host;
        proxy_set_header X-Forwarded-Proto https;
        proxy_redirect off;
        proxy_connect_timeout      240;
        proxy_send_timeout         240;
        proxy_read_timeout         240;
        # note, there is not SSL here! plain HTTP is used
        proxy_pass http://tomcat;
    }
}

其中最為關鍵的就是 ssl_certificate 和 ssl_certificate_key 這兩項配置,其他的按正常配置。不過多了一個 proxy_set_header X-Forwarded-Proto https; 配置。

最主要的配置來自 Tomcat,下面是我測試環境中的完整 server.xml:

<?xml version='1.0' encoding='utf-8'?>
<Server port="8005" shutdown="SHUTDOWN">
  <Service name="Catalina">
    <Connector port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="443"
               proxyPort="443"/>

    <Engine name="Catalina" defaultHost="localhost">

      <Host name="localhost"  appBase="webapps"
            unpackWARs="true" autoDeploy="true">
            <Valve className="org.apache.catalina.valves.RemoteIpValve"
                  remoteIpHeader="x-forwarded-for"
                  remoteIpProxiesHeader="x-forwarded-by"
                  protocolHeader="x-forwarded-proto"
            />
            <Context path="" docBase="/oschina/webapp" reloadable="false"/>
      </Host>
    </Engine>
  </Service>
</Server>

上述的配置中沒有什麼特別的,但是特別特別注意的是必須有 proxyPort="443",這是整篇文章的關鍵,當然 redirectPort 也必須是 443。同時 <Value> 節點的配置也非常重要,否則你在 Tomcat 中的應用在讀取 getScheme() 方法以及在 web.xml 中配置的一些安全策略會不起作用。

怎麼樣,簡單到一塌糊塗吧!!!

相關推薦

Nginx + Tomcat + HTTPS 配置原來需要Tomcat 啟用 SSL 支援

之前在網上搜索到的很多文章在描述 Nginx + Tomcat 啟用 HTTPS 支援的時候,都必須在 Nginx 和 Tomcat 兩邊同時配置 SSL 支援。但我一直在想為什麼就不能按照下面的方式來配置呢?就是 Nginx 上啟用了 HTTPS,而 Nginx 和 T

Tomcat下訪問專案需要輸入專案名稱的配置方法

在conf目錄下, 修改  server.xml 檔案,  在Host標籤中,加入子標籤 l<Context path="" docBase="工程名" debug="0" reloadable="true"/> 其中path =“” 表明依 Host的 pa

symentec tomcat https 配置

generator keystore keytool -genkey -alias <create_AliasName> -keyalg RSA -keystore <path_and_create_KeystoreFilename>.jks

window 系統,tomcat https 配置

1,進入jdk 目錄生成keystore cmd進入 jdk bin 目錄下   我的是E:\Program Files\Java\jdk1.8.0_131\bin 輸入命令     keytool -genkey -alias tomcat -keyal

Tomcat8配置Https協議,Tomcat配置Https安全訪問,Tomcat Https配置

Tomcat8配置Https協議,Tomcat配置Https安全訪問,Tomcat Https配置   ============================== ©Copyright 蕃薯耀 2017年11月06日 http://www.cnblogs.com

Tomcat使用APR和使用APR的單向SSL配置

單向SSL的概念: 客戶端向伺服器傳送訊息,伺服器接到訊息後,用伺服器端的金鑰庫中的私鑰對資料進行加密,然後把加密後的資料和伺服器端的公鑰一起傳送到客戶端,客戶端用伺服器傳送來的公鑰對資料解密,然後在用傳到客戶端的伺服器公鑰對資料加密傳給伺服器端,伺服器用私鑰對資料進行解密,這就完成了客戶端和伺服器之間通訊

ubuntu samba配置需要使用者名稱和密碼訪問

環境:ubuntu 14.04 1、安裝samba 安裝samba:sudo apt-get install samba 安裝smbclient:sudo apt-get install smbclient //其實如果只是作為伺服器的話,可以不安裝這個 2、修改samba的配置檔案

阿里雲獲得免費證書,到nginxhttps配置

        為個麼會說的https,一般我做的專案還沒有說要用https的,但是現在不一樣的 , 小程式的開發文件上說,小程式的所有請求都必須是https的請求,暈了,證書,那可是要花銀子的。         免費的是我最喜歡的,阿里雲。有免費的證收,具體操作步驟如下,

Nginxhttps配置記錄以及http強制跳轉到https的方法梳理

一、Nginx安裝(略)安裝的時候需要注意加上 --with-http_ssl_module,因為http_ssl_module不屬於Nginx的基本模組。Nginx安裝方法: 1 2 # ./configure --user=www --grou

解決eclipse中啟動Tomcat成功但是訪問Tomcat問題

  自己搭建了一個springMVC專案,中間出了一些問題,在排查問題的過程中發現eclipse成功啟動了Tomcat,但是在瀏覽器中輸入localhost:8080卻給我一個冷冷的404,我以為是Tomcat出問題了(心情大好,以為自己搭建的專案沒有問題),然後跑去Tom

QT5.8.0+MSVC2015安裝以及環境配置需要安裝VS2015)

edit 如果 sheet https 還需要 eas font evel 自己 原文:QT5.8.0+MSVC2015安裝以及環境配置(不需要安裝VS2015) 版權聲明:本文為博主原創文章

最新Https請求原理、OPenssl生成證書、nginxhttps配置

Https請求原理 我們都知道HTTPS能夠加密資訊,以免敏感資訊被第三方獲取。所以很多銀行網站或電子郵箱等等安全級別較高的服務都會採用HTTPS協議。 HTTPS其實是有兩部分組成:HTTP + SSL / TLS,也就是在HTTP上又加了一層處理加密資訊

weblogic tomcat 叢集配置方法(轉)軟體層次的分散式與叢集

       叢集與分散式一直是我想學習的東西.可惜沒有實踐的機會       分散式強調的同一個業務被分拆成不同的子業務,被部署在不同的伺服器上(可能是效能的問題,也可能是安全的問題,也可能是模組對伺服器的需求不同的問題將業務進行分解),伺服器可以跨域也可以同域。 而

Eclipse部署專案,可以啟動Tomcat,但是訪問Tomcat主頁

一、發生問題在Eclipse中新建一個maven工程,使用spring後在專案上Run on Server部署啟動,tomcat可以啟動,但是訪問localhost:8080無法成功。二、排查問題去到Tomcat目錄下檢視,發現無論在webapps資料夾下還是其他資料夾下都找

轉型AI產品經理,原來需要學那麼深的演算法和數學模型

linux伺服器(centos7)Apache+Tomcat 安裝配置以及叢集實現(

解壓apr-1.5.2命令 [[email protected] ~]# tar zxvf apr-1.5.2.tar.gz 切換解壓目錄 [[email protected] ~]# cd apr-1.5.2 指令碼編譯配置指定安裝目錄 [[email protected] a

Editor富文本編輯器配置含圖片傳】

初始化 src rip eba portal tar family 根據 utf 一,下載地址:http://ueditor.baidu.com/website/download.html   1)根據需要下載相應版本     例 Java:選擇jsp+utf-8; 二,

shell腳本批量執行命令----需要判斷一步執行結果

全部 res figure 結果 fir paramiko python config 3.6 首先把pip-18.0.tar.gz 、Python-3.6.5.tgz 安裝包放在 /usr/local 下面,按照順序先安裝pip,再安裝python。不要先安裝或只安裝p

Nginx SSL+tomcat集群,取https正確協議

分享 安裝目錄 remote 瀏覽器 架構 解決方案 name head 文件 最近在做一個項目, 用到企業微信,架構上使用了 Nginx +tomcat 集群, 且nginx下配置了SSL,tomcat no SSL,項目使用https協議,但是在調試微信菜單的相關功能時

eclipse配置apache tomcat執行時訪問路徑需要專案名稱

問題:tomcat執行專案預設是要帶上專案名的,有時候不想要專案名來訪問,如何解決呢? 方法: 1:雙擊開啟tomcat 2:選擇Modules,選擇你要修改的專案 3:點選Edit,把path修改成空或者你自己想要的路徑即可! 轉載自