背景介绍:
HTTPS,全称:Hyper Text Transfer Protocol over Secure Socket Layer,是通过SSL安全机制传输,保证网站数据不被窃听、冒充、篡改等安全风险,保证网站传输安全可靠,下面是通过nginx配置ssl模块记录。
环境信息:
nginx ssl--》tomcat1 tomcat2 tomcat3 操作系统: centos nginx: 1.12.0 tomcat: tomcat8 |
之前的流量图:普通用户,从公网访问公司网站,会经过防火墙进入nginx agent反向代理,反向代理根据用户的域名,分配到对应的web服务器。
SSL流量:使用证书访问网站,当用户的流量到达nginx agent反向代理后,nginx开启ssl加密,然后转向到对应的web服务器,web服务器程序认证完毕后返回给用户对应的http连接。
流量配置图如下:
一 开启SSL证书准备
1.需要准备nginx已经开启了ssl模块
检查命令如下,发现有此模块,如果没有,需要重新编译 --with-ssl模块安装
[root[email protected] ~]# nginx -V | grep ssl nginx version: built by gcc 4.8.5 built with OpenSSL TLS SNI support configure [[email protected] ~]# |
2.准备好证书文件
通过key证书文件,向第三方机构申请认证,申请证书,证书文件命名如下:
二 nginx配置
2.1 使用了nginx 1.12版本,配置文件按照模块分开配置了
编辑vi /etc/nginx/nginx.conf ,在 http里面增加下面配置
upstream yc{ server 192.168.120.101:87 server 192.168.120.108:87 max_fails=3 fail_timeout=30s; server 192.168.120.105:87 } |
2.2 编辑80默认虚拟主机配置文件,增加易创网和服务中心域名对应的虚拟主机
[[email protected] ~]# cat /etc/nginx/conf.d/default.conf server { listen 80; server_name www.vbeard.cc; #charset koi8-r; #access_log /var/log/nginx/log/host.access.log main; rewrite location / { proxy_pass http://yc; #反向代理到后端易创网,易创网可能有多台,起到负载均衡的作用 proxy_set_header Host $host; proxy_set_header X-Forwarded-For } error_page 500 502 503 504 /50x.html; location = /50x.html { root } } |
2.3 编辑ssl.conf配置文件,443虚拟主机配置
如下,通过反向代理到后端IIS web对应的应用服务器,对应的应用服务器处理后,如果登录成功,则返回http给最终用户。
[[email protected] ~]# cat /etc/nginx/conf.d/ssl.conf server { listen 443; server_name www.vbeard.cc ; ssl on; #开启ssl证书加密 ssl_certificate www.vbeard.cc.cer; ssl_certificate_key www.vbeard.cc.key; ssl_session_cache shared:SSL:10m; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; location / { proxy_pass http://yc; #当接收到对应请求后,转向到后端服务器处理。 proxy_set_header Host $host; proxy_set_header X-Forwarded-For } error_page 500 502 503 504 /50x.html; location = /50x.html { root } } } |
2.4 nginx重新加载
检查nginx配置没有问题,就执行下面方式重新加载配置文件。
[[email protected] ~]# nginx -t #检查nginx配置语法 nginx: the nginx: [[email protected] ~]# nginx -s reload #重新加载nginx配置 [[email protected] ~]# |
四 测试
需要更改本地host后,测试登录是否加密了。
对应修改本地hosts方法:C:\Windows\System32\Drivers\etc\hosts
192.168.121.106 www.vbeard.cc
访问: https://www.vbeard.cc 检查是否可以正常打开。