nginx https
什么是HTTPS?HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容 就需要SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP,但HTTPS存在不同 于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广 泛用于万维网上安全敏感的通讯,例如交易支付方面。
更多内容:http://baike.baidu.com/view/14121.htm
http://www.junguoguo.com/wp-content/uploads/2011/10/https-300x165.jpg
操作环境
操作系统:centos5.5
前段静态内容处理:nginx
后端JSP处理:tomcat 6
一.Nginx + https + 免费SSL证书配置指南
生成证书
$ cd /usr/local/nginx/conf $ openssl genrsa -des3 -out server.key 1024
$ openssl req -new -key server.key -out server.csr
$ cp server.key server.key.org
$ openssl rsa -in server.key.org -out server.key
$ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
编辑 nginx.conf
server { server_name YOUR_DOMAINNAME_HERE;
listen 443;
ssl on;
ssl_certificate /etc/nginx/conf/server.crt;
ssl_certificate_key/etc/nginx/conf/server.key;
}
OK, 完成了。但这样证书是不被信任的,要被信任还需要购买相关证书(http://www.godaddy.com/ssl/ssl-certificates.aspx?ci=8979)
验证配置:
https://127.0.0.1
二.Tomcat SSL配置
1. 生成 server key :
以命令行方式切换到目录%TOMCAT_HOME%,在command命令行输入如下命令(jdk1.4以上带的工具):
keytool -genkey -alias tomcat -keyalg RSA -keypass junguoguo.com -storepass junguoguo.com -keystore server.keystore -validity 3600
keypass 和 storepass两个参数后面跟的是密码。
用户名输入域名,如localhost(开发或测试用)或hostname.domainname(用户拥有的域名),其它全部以 enter 跳过,最后确认,此时会在%TOMCAT_HOME%下生成server.keystore 文件。
注:参数 -validity 指证书的有效期(天),缺省有效期很短,只有90天。
配置TOMCAT
修改%TOMCAT_HOME%\conf\server.xml,以文字编辑器打开,查找这一行:将之后的那段的注释去掉,并加上 keystorePass及keystoreFile属性。注意,tomcat不同版本配置是不同的: Tomcat4.1.34配置:
xml 代码
[*]
[*] port=”8443″ enableLookups=”true” scheme=”https” secure=”true”
[*] acceptCount=”100″
[*] useURIValidationHack=”false” disableUploadTimeout=”true”
[*] clientAuth=”false” sslProtocol=”TLS”
[*] keystoreFile=”server.keystore”
[*] keystorePass=”changeit”/>
Tomcat5.5.9配置:
xml 代码
[*]
Tomcat5.5.20配置(此配置同样可用于Tomcat6.0):
xml 代码
[*]
Tomcat6.0.10配置:
xml 代码
[*]
tomcat6支持3种,请参考以下文档:
http://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html
验证配置 :访问 https://127.0.1.1:8443/
三。综合配置
前段静态内容处理:nginx 配置
http { include /etc/nginx/mime.types;
default_typeapplication/octet-stream;
log_formatmain'$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log/var/log/nginx/access.logmain;
sendfile on;
tcp_nopush on;
tcp_nodelay on;
server_tokens off;
gzip on;
gzip_static on;
gzip_comp_level 5;
gzip_min_length 1024;
keepalive_timeout65;
limit_zone myzone$binary_remote_addr10m;
# Load config files from the /etc/nginx/conf.d directory
include /etc/nginx/conf.d/*.conf;
server {
listen 80;
server_namelocalhost;
location ~ \.(htm|html|gif|jpg|jpeg|png|ico|rar|css|js|zip|txt|flv|swf|doc|ppt|xls|pdf)$ {
index index.jsp index.html;
root /home/tomcat/webapps;
access_log off;
expires 24h;
}#nginx处理静态内容location /{proxy_pass http://127.0.0.1:8080; #提交给后端的tomcat处理}
}
验证配置: https://127.0.0.1
--------------------------------------------------------------------------------------
server {
listen 80;
listen 443 ssl;
server_name www.nginx.com;
ssl_certificate www.nginx.com.crt;
ssl_certificate_key www.nginx.com.key;
...
}
[*] server {
[*] listen 192.168.1.11:443;#ssl端口
[*] listen 192.168.1.11:80; #用户习惯用http访问,加上80,后面通过497状态码让它自动跳到443端口
[*] server_nametest.com;
[*] #为一个server{......}开启ssl支持
[*] ssl on;
[*] #指定PEM格式的证书文件
[*] ssl_certificate /etc/nginx/test.pem;
[*] #指定PEM格式的私钥文件
[*] ssl_certificate_key/etc/nginx/test.key;
[*]
[*] #让http请求重定向到https请求
[*] error_page 497https://$host$uri?$args;
[*] }
页:
[1]