Доменное имя Nginx перенаправляет https-доступ (в яму)

Nginx
Доменное имя Nginx перенаправляет https-доступ (в яму)

Скажите перед:

Внезапно получил такую ​​​​задачу, доступ к нескольким доменным именам должен использовать доступ с переадресацией https, на самом деле использование Nginx очень просто, и документация также очень полная (будь то Tencent Cloud или Alibaba Cloud), причина для вход в яму сервер Nginx.странность и обходные пути.

1. Объезд: Tomcat поддерживает SSL

Конфигурация сертификата сервера Tencent Cloud Tomcat

Исправлятьserver.xmlдокумент

<Connector 
           port="443" 
           protocol="org.apache.coyote.http11.Http11NioProtocol" 
           SSLEnabled="true" 
           scheme="https" 
           secure="true" 
           keystoreFile="conf\ssl\生产的证书名称我使用相对路径.jks" 
           keystoreType="JKS" 
           keystorePass="证书对应的密码" 
           clientAuth="false" 
           sslProtocol="TLSv1+TLSv1.1+TLSv1.2"
           maxThreads="150"	ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256">
</Connector>

<!-- Define an AJP 1.3 Connector on port 8009 -->
<Connector port="8209" protocol="AJP/1.3" redirectPort="8443" secretRequired="" useBodyEncodingForURI="true" URIEncoding="UTF-8"/>

keystoreType="JKS": Обратите внимание, что эта конфигурация отличается от конфигурации Alibaba Cloud, не забудьте изменить

<Engine defaultHost="我的域名" name="Catalina" jvmRoute="tomcat1" URIEncoding="UTF-8">
    <Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>
    <Realm className="org.apache.catalina.realm.LockOutRealm">
        <Realm className="org.apache.catalina.realm.UserDatabaseRealm" resourceName="UserDatabase"/>
    </Realm>
    <Host name="我的域名"  appBase="webapps" unpackWARs="true" autoDeploy="true">
        <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
               prefix="localhost_access_log" suffix=".txt"
               pattern="%h %l %u %t &quot;%r&quot; %s %b" />
    </Host>
</Engine>

По отзывам коллег конфигурация хорошая, место для входа в яму тоже.После запуска сервера порт 443 тоже занят.

Не удалось запустить nginx bind() до 0.0.0.0:443 не удалось (10013: была предпринята попытка доступа к сокету способом, запрещенным его правами доступа

2. Ближе к дому

2.1 Обзор требований

Когда на одном сервере развернуто несколько служб (IP-адрес сервера Tencent Cloud), и доступ к разным службам должен осуществляться через разные доменные имена, переадресация доменных имен может выполняться через прокси-сервер Nginx, а доступ по протоколу HTTPS также может быть достигнут путем настройки SSL-модуль. (Мой сервер использует оконную систему, если нет модуля SSL, который нужно включать сам по себе, он поддерживается по умолчанию)

Разверните 3 службы на одном сервере одновременно: службу A, службу B и службу C. Службу необходимо настроить со следующими доменными именами:

  • Доменное имя pangsir01.domain.com соответствует услуге A;
  • Доменное имя pangsir02.domain.com соответствует услуге B;
  • Доменное имя pangsir03.domain.com соответствует услуге C;

Доступ к сервису осуществляется через https, а http-запрос перенаправляется на https.

2.2 Настройки сервисного прокси

Настройте Nginx для прослушивания порта 443 (== я застрял здесь в течение длительного времени из-за конфигурации Tomcat, безуспешно ==), реализуйте переадресацию доменного имени и доступ https, сертификат, используемый в этом примере, является сертификатом формата crt

(1) Конфигурация услуги А

server {
    listen  443 ssl; #监听端口,Nginx1.5后推荐使用
    server_name  pangsir01.domain.com; #请求域名
    ssl_certificate ssl/证书名称A.crt; #crt证书路径,存放位置Nginx的conf/ssl文件夹下,可以使用绝对路径
    ssl_certificate_key     ssl/证书名称A.key; #crt证书key路径
    ssl_session_timeout     5m; #会话超时时间
    ssl_ciphers     ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
    ssl_protocols   TLSv1 TLSv1.1 TLSv1.2; #SSL协议

    # 拦截所有请求
    location / {
        proxy_http_version 1.1; #代理使用的http协议
        proxy_set_header Host $host; #header添加请求host信息
        proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录
        proxy_pass http://127.0.0.1:8001; #服务A访问地址
	}
}

(2) Конфигурация услуги B

server {
    listen  443 ssl; #监听端口,Nginx1.5后推荐使用
    server_name  pangsir02.domain.com; #请求域名
    ssl_certificate ssl/证书名称B.crt; #crt证书路径,存放位置Nginx的conf/ssl文件夹下,可以使用绝对路径
    ssl_certificate_key     ssl/证书名称B.key; #crt证书key路径
    ssl_session_timeout     5m; #会话超时时间
    ssl_ciphers     ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
    ssl_protocols   TLSv1 TLSv1.1 TLSv1.2; #SSL协议

    # 拦截所有请求
    location / {
        proxy_http_version 1.1; #代理使用的http协议
        proxy_set_header Host $host; #header添加请求host信息
        proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录
        proxy_pass http://127.0.0.1:8002; #服务B访问地址
	}
}

(3) Конфигурация службы C

server {
    listen  443 ssl; #监听端口,Nginx1.5后推荐使用
    server_name  pangsir03.domain.com; #请求域名
    ssl_certificate ssl/证书名称C.crt; #crt证书路径,存放位置Nginx的conf/ssl文件夹下,可以使用绝对路径
    ssl_certificate_key     ssl/证书名称C.key; #crt证书key路径
    ssl_session_timeout     5m; #会话超时时间
    ssl_ciphers     ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
    ssl_protocols   TLSv1 TLSv1.1 TLSv1.2; #SSL协议

    # 拦截所有请求
    location / {
        proxy_http_version 1.1; #代理使用的http协议
        proxy_set_header Host $host; #header添加请求host信息
        proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录
        proxy_pass http://127.0.0.1:8003; #服务B访问地址
	}
}

2.3 Автоматическая переадресация http-запросов

Добавьте конфигурацию сервера, прослушивайте порт 80 и выполняйте перенаправление https для всех доменных имен.

server {
    listen       80; #监听端口
    server_name  a.domain.com b.domain.com c.domain.com; #请求域名
    return      301 https://$host$request_uri; #重定向至https访问。
}

Мои потребности выполнены здесь, следующий контент относится к расширенному контенту, запишите его

3. SSL-конфигурация WebSocket

Если в службе A используется веб-сокет (интерфейс доступа:/websocket), необходимо заменить протокол ws на протокол wss.В конфигурацию сервера службы А можно добавить конфигурацию местоположения для перехвата вебсокета для отдельного прокси.

Конфигурация службы А после модификации:

server {
       listen  443 ssl; #监听端口
       server_name  pangsir01.domain.com; #请求域名
       ssl_certificate ssl/证书名称A.crt; #crt证书路径
       ssl_certificate_key     ssl/证书名称A.key; #crt证书key路径
       ssl_session_timeout     5m; #会话超时时间
       ssl_ciphers     ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
       ssl_protocols   TLSv1 TLSv1.1 TLSv1.2; #SSL协议

      # 拦截所有请求
       location / {
            proxy_http_version 1.1; #代理使用的http协议
            proxy_set_header Host $host; #header添加请求host信息
            proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录
            proxy_pass http://127.0.0.1:8001; #服务A访问地址
        }
        
        # 拦截websocket请求
        location /websocket {
           proxy_pass http://127.0.0.1:8001;
           proxy_http_version 1.1;
           proxy_set_header Upgrade $http_upgrade;
           proxy_set_header Connection "upgrade";
        }
   }
Категории