配置ssl证书

前提

443 端口 已经开放。

防火墙放行 443 端口。

证书安装

对应厂商购买后，下载证书。此步骤见厂商文档。

nginx 配置

完整配置

upstream publicCluster {
  ip_hash;  # one user visit one ip
  server 192.168.100.1:8092;
  server 192.168.100.2:8092;
}

server {
  # 同时支持http和https
  listen       80;
  listen       443 ssl;
  server_name  test.com.cn public.test.com.cn;

  #root html;
  #index index.html index.htm;

  ssl_certificate      cert/test.com.cn.pem;
  ssl_certificate_key  cert/test.com.cn.key;

  ssl_session_cache    shared:SSL:1m;
  ssl_session_timeout  5m;

  ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  ssl_prefer_server_ciphers  on;

  location / {
    proxy_pass http://publicCluster/;
    proxy_set_header Host $http_host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    # 关键
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_connect_timeout  60000;
    proxy_read_timeout   60000;
    proxy_send_timeout   60000;
  }

  #location ~ .*\.(jpg|jpeg|gif|png|ico|css|js|pdf|txt|mp4|ttf|mov|html|avi|wmv)$ {
   # proxy_pass http://publicCluster;
  #}

  # statics
  location ~ ^/(commons|images|plugin|scripts|styles)/ {
    root /mnt/test/statics/public;
    access_log  off;
    #expires  30d;
  }

  location ^~ /upload/ {
    root /mnt/test/;
  }
}

tomcat

配置如下，其中proxyPort="443"和Valve配置重点。

<Service name="Catalina">
    ...
    <Connector port="8080" protocol="HTTP/1.1"
                   connectionTimeout="20000"
                   redirectPort="443"
                   proxyPort="443"/>
    
    <Valve className="org.apache.catalina.valves.RemoteIpValve"
                      remoteIpHeader="x-forwarded-for"
                      remoteIpProxiesHeader="x-forwarded-by"
                      protocolHeader="x-forwarded-proto"
                />
    
    <Engine name="Catalina" defaultHost="localhost">
        <Host name="localhost"  appBase="webapps"
            unpackWARs="true" autoDeploy="true">
            <!--关键-->
            <Valve className="org.apache.catalina.valves.RemoteIpValve"
                  remoteIpHeader="x-forwarded-for"
                  remoteIpProxiesHeader="x-forwarded-by"
                  protocolHeader="x-forwarded-proto"   
                  protocolHeaderHttpsValue="https"/>
            <Context path="" docBase="/oschina/webapp" reloadable="false"/>
        </Host>
    </Engine>
</Service>

代码层面

因ssl传输会消耗多余的带宽，影响性能，所以对于一些安全性要求不高的数据传输，可直接用http传输。所以在代码层面，可以看情况而定使用http或https。

注意 ctx 的配置，以及system.properties配置文件中，http链接不要写死，可以在ResourceUtil.java中动态判断

public static String getCameraPicUrl(HttpServletRequest request) {
    int serverPort_ = request.getServerPort();
    if (serverPort_ == 443) {
        return "https://" +bundle.getString("PicUrl");
    } else {
        return "http://" +bundle.getString("PicUrl");
    }
}

参考

• 常用的Nginx配置（https,集群）
• nginx.org/configuring_https_servers

• 本文作者： Linking
• 本文链接： https://linking.fun/2019/09/04/配置ssl证书/
• 版权声明： 版权所有，转载请注明出处！