昨天了解了一下ssl相关知识,然后动手将web服务器增加ssl访问支持。
服务器是——nginx反向代理+tomcat作为web服务器——这样的体系架构。
首先,使用openssl生成相关秘钥文件和证书,网上有许多这方面的资源,这里不再赘述。
然后,要判断nginx当前版本是否已经安装了ssl模块。将下面的代码写入nginx配置文件:
listen 443 ssl;
ssl_certificate /data/security/ssl_key_for_nginx.crt;
ssl_certificate_key /data/security/ssl_key_for_nginx.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
然后执行nginx配置文件的测试命令:
[root@iZ25qrs2oacZ sbin]# ./nginx -t如果成功,说明支持ssl模块,否则,需要追加安装支持https的模块。
进入nginx的source目录,执行下列命令:
./configure --prefix=/opt/nginx --with-http_stub_status_module --with-http_ssl_module --with-zlib --with-pcre
make
make install安装完毕后,将下面的代码插入nginx配置文件中(这里参考了红薯的文章):
server {
listen 443 ssl;
ssl_certificate /data/security/ssl_key_for_nginx.crt;
ssl_certificate_key /data/security/ssl_key_for_nginx.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
server_name myserver.com;
location ~* ^(.*)$ {
proxy_set_header host myserver.com;
proxy_pass http://localhost:8080;
}
}
执行测试并通过。如果需要强行将http请求转换成https请求的话,再加上如下代码即可:
server {
listen 80;
server_name myserver.com;
rewrite ^(.*) https://$server_name$1 permanent;
}至此,外部对本服务器可以发起https请求了,nginx会将该请求转发至后台tomcat的8080端口。
**************************************分割线****************************************************
这里需要说明一点:红薯的文章中提到,在后端tomcat的server.xml文件中的,必须加入 proxyPort=443,否则会造成Tomcat 中的应用在读取 getScheme() 方法以及在 web.xml 中配置的一些安全策略会不起作用。这个我没有做测试,但是,如果https对应用是透明的话,这个也就不重要了。
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="443"
proxyPort="443"/>补充:openssl 生成秘钥和证书的命令:
openssl genrsa -des3 -out my.key 1024
openssl req -new -key my.key -out my.csr
openssl req -new -x509 -key my.key -out my.crt -days 3650其中,my.key是RSA秘钥文件,my.crt是证书文件,my.csr是证书申请文件
参考资料:
http://www.oschina.net/question/12_213459#tags_nav
http://www.cnblogs.com/yanghuahui/archive/2012/06/25/2561568.html
来源:oschina
链接:https://my.oschina.net/u/93789/blog/794316