nginx ssL +tomcat实现https-白红宇

参考

http://ntxjxp.blog.51cto.com/11279216/1766579

http://www.cnblogs.com/bass6/p/6228902.html

http://szcto.blog.51cto.com/2463527/1891867

原理

X-Forwarded-Proto 就是为了正确地识别实际服务发出的协议是 http 还是 https，就比如上图表示的就是本地所有的服务发出的协议都是https，那么接下来的

思路也很明确，就是tomcat上的服务也接受https

在生产环境中，可以能有特殊的情况，如要保持原有端口生效的情况下，并443端口生效。我公司开始用的 haproxy做反向代理，后来用nginx 配https，便 443端口生效。也就是同时开启原有的haproxy使原有的端口生效，ngix配的https的443端口同时也生效。也就是不同的端口代理到后端相同的端口。这样就能兼容原有端口的同时，也兼容了443端口。

配置

nginx的配置文件

                         
<span style
=
"font-size:18px;"
>server {<br>listen 
443
; server_name localhost;<br>ssl on;<br>root html;<br>index index.html index.htm;<br>ssl_certificate   磁盘目录
/
订单号.pem;<br>ssl_certificate_key  磁盘目录
/
订单号.key;<br>ssl_session_timeout 
5m
;<br>ssl_protocols TLSv1 TLSv1.
1
TLSv1.
2
;<br>ssl_ciphers AESGCM:
ALL
:!DH:!EXPORT:!RC4:
+
HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;<br>ssl_prefer_server_ciphers on;<br>location 
/
{<br>root html;<br>index index.html index.htm;<br>}<br>}<br><br><
/
span>
        
      

tomcat的server.xml配置

proxyPort代理端口配置443，是接受来自（1）里发来的https前提，当然如果某同学涉及到redis的话，也需要将redistport改成443，道理一样。接下来就是

Valve模块，此模块只能存在一个，想当初我配了2个，这都是泪啊，此处为标准安全策略配置，格外注意portocolHeader的值，你比对比对就知道什么意思了

nginx+tomcat配置完成。

apache 配置文档

安装证书( 1 ) 打开 apache 安装目录下 conf 目录中的 httpd.conf 文件，找到#LoadModule ssl_module modules/mod_ssl.so (如果找不到请确认是否编译过 openssl 插件)#Include conf/extra/httpd_ssl.conf( 2 ) 打开 apache 安装目录下 conf/extra 目录中的 httpd-ssl.conf 文件 ( 注释:yum 安装配置目录：conf.d/ssl.confubuntu/apache2 安装目录:conf/sites-enabled/*.conf )， 在配置文件中查找以下配置语句:·添加 SSL 协议支持语句,关闭不安全的协议和加密套件SSLProtocol all -SSLv2 -SSLv3·修改加密套件如下SSLCipherSuite AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;·将服务器证书公钥配置到该路径下(在 conf 目录下创建 ssl 目录,将 for Apache 里面的三 个证书文件拷贝到 ssl 目录下)SSLCertificateFile conf/ssl/public.pem (证书公钥)·将服务器证书私钥配置到该路径下SSLCertificateKeyFile conf/ssl/订单号.key (证书私钥)·将服务器证书链配置到该路径下SSLCertificateChainFile conf/ssl/chain.pem (证书链)删除行首的“#”号注释符保存退出。( 3 ) 重启 Apache。重启方式：进入 Apache 安装目录下的 bin 目录,运行如下命令 ./apachectl -k stop./apachectl -k start

tomcat配置文档

安装证书Tomcat支持JKS格式证书，从Tomcat7开始也支持PFX格式证书，两种证书格式任选其一。下载包中包含PFX格式证书和密码文件。1、PFX证书安装找到安装 Tomcat 目录下该文件server.xml,一般默认路径都是在 conf 文件夹中。找到 
    2、JKS证书安装( 1 ) 使用java jdk将PFX格式证书转换为JKS格式证书(windows环境注意在%JAVA_HOME%/jdk/bin目录下执行)keytool -importkeystore -srckeystore 订单号.pfx -destkeystore your-name.jks -srcstoretype PKCS12 -deststoretype JKS回车后输入一次PFX证书密码，然后输入两次要设置的JKS证书密码，并牢记此证书密码。( 2 ) 找到安装 Tomcat 目录下该文件Server.xml,一般默认路径都是在 conf 文件夹中。找到 
    ( 注意:不要直接拷贝所有配置,只需添加 keystoreFile,keystorePass,keystorePass等参数即可，其它参数请根据自己的实际情况修改 )

注意点

这时候，你就可以打开浏览器访问一下试试了。正常情况 HTTPS 请求是打不开的，因为我们还没设置防火墙，记得要开放443端口！，嗯，设置过防火墙就可以正常访问了吧。

其实到这里，这个服务器支持 HTTPS 请求流程已经结束了，但是你发现好多人在浏览器地址栏输入域名的时候都不输入http://或https://的，因为浏览器会自动帮我们加上http://的，所以，这时候输入我们刚刚设置的域名其实还是没有走https://请求,那怎么让就是输入http://也走HTTPS呢？

很简单，Nginx 中这样配置就行啦！

server {    listen  80;    server_name  www.domain.com;    rewrite ^(.*)$  https://$host$1 permanent;}

我们利用rewrite来做跳转。监听到80端口的 HTTP 请求后，就转发到 HTTPS ，当然还有好多处理方式。

本文转自 liqius 51CTO博客，原文链接：http://blog.51cto.com/szgb17/1946831，如需转载请自行联系原作者