分布式中间件

tomcat+nginx 配置https、http兼容模式

2019-03-21  本文已影响0人  随风遣入夜

目标 :为域名配置SSL证书,使用https开头访问域名 并且兼容http开头访问。

基础环境

centos7 x64 服务器
nginx 1.14.0
tomcat8 web容器
JDK8 Java环境
可爱的免费SSL申请网站Let's encrypt https://letsencrypt.org/

配置顺序

1、生成证书
2、配置其他支持环境
3、证书配置进tomcat

开始

一、获取 Let’s Encrypt 免费 SSL 证书
1、下载代码,上传至服务器指定目录 我放在了/var/ssl/下
生成证书需要下载letsencrypt软件支持,我直接在本地拉取github的代码,传到服务器,解压后位置为/var/ssl/letsencrypt/*

# letsencrypt拉取地址,下面两个都是可以的
https://github.com/certbot/certbot 或 https://github.com/letsencrypt/letsencrypt

2、用命令获取ssl证书

# 获取证书, 选用 standalone 参数,在此需要把 tomcat 服务器关闭(否则可能会报错)
# -d 你的域名 例如:  smartisan.com -d www.smartisan.com
$ ./letsencrypt-auto certonly --standalone --email 你的邮箱 -d smartisan.com -d www.smartisan.com
注意了!!!

执行出问题的先看这里了,我在执行上面获取证书的代码时遇到了一些问题主要是两个
①首先要关闭正在运行且使用80端口的tomcat 为了保险期间 我建议你关闭所有tomcat
②仔细看上面的命令 [./letsencrypt-auto] 是不是感觉很熟悉啊,没错这个就是shell脚本,我这边呢下载下来的代码是位于/var/ssl/letsencrypt/letsencrypt-auto 这个letsencrypt-auto其实就是sh脚本 不用管他为什么不写后缀名,这里我下的版本有个坑,就是这个shell脚本的文件编码是win的 如果你执行上面的命令,出现
-bash: ./letsencrypt-auto: /bin/sh^M: bad interpreter: No such file or directory
那么请你先检查一下 这个文件的编码

# 查看该错误文件的格式(一般报错的文件格式是DOS)
 vi letsencrypt-auto
:set ff
如果ff=dos 说明就是这里了 
:set ff=unix 
:wq
再运行就好了

如果遇到下面的情况说明你获取成功了,中间黑的地方是以自己域名命名的文件夹


获取SSL证书成功后的信息

这段说明里面有一个点要注意下,就是证书到期的日期,如图我的是2019年3月22日到期
可以在你的 /etc/letsencrypt/live/域名/ 目录下看到一下几个文件


证书全部文件
到这一步,说明你已经准备好相关的证书了。
接下来就是配置tomcat和nginx了 
tomcat server.xml配置成这样
<Connector port="8082" protocol="HTTP/1.1"
               connectionTimeout="20000"
               URIEncoding="UTF-8"
               redirectPort="443" />

nginx nginx.conf
#user  nobody;
worker_processes  1;

#error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;

#pid        logs/nginx.pid;


events {
    worker_connections  1024;
}


http {
    include       mime.types;
    default_type  application/octet-stream;

    #log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
    #                  '$status $body_bytes_sent "$http_referer" '
    #                  '"$http_user_agent" "$http_x_forwarded_for"';

    #access_log  logs/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    #keepalive_timeout  0;
    keepalive_timeout  65;


    #gzip  on;

    server {
        listen       80;
        server_name  localhost;
        charset utf-8;
        #charset koi8-r;

        #access_log  logs/host.access.log  main;

        location / {
                proxy_connect_timeout 300;
                proxy_send_timeout 300;
                proxy_read_timeout 300;
                proxy_pass http://127.0.0.1:8082;
        }

        #error_page  404              /404.html;

        # redirect server error pages to the static page /50x.html
        #
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }

        # proxy the PHP scripts to Apache listening on 127.0.0.1:80
        #
        #location ~ \.php$ {
        #    proxy_pass   http://127.0.0.1;
        #}

        # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
        #
        #location ~ \.php$ {
        #    root           html;
        #    fastcgi_pass   127.0.0.1:9000;
        #    fastcgi_index  index.php;
        #    fastcgi_param  SCRIPT_FILENAME  /scripts$fastcgi_script_name;
        #    include        fastcgi_params;
        #}

        # deny access to .htaccess files, if Apache's document root
        # concurs with nginx's one
        #
        #location ~ /\.ht {
        #    deny  all;
        #}
    }


    # another virtual host using mix of IP-, name-, and port-based configuration
    #
    #server {
    #    listen       8000;
    #    listen       somename:8080;
    #    server_name  somename  alias  another.alias;

    #    location / {
    #        root   html;
    #        index  index.html index.htm;
    #    }
    #}


    # HTTPS server
    #
    server {
        listen       443 ssl;
        server_name  localhost;
        #这里一定要配置fullchain.pem 避免配置成cert.pem 不然小程序端会报错 即ios端可以正常访问 Android 使用wx.request报错误ssl hand shake error
        #生成的ssl下有四个pem 其中一个是key 其他三个cert是一个根证书 chain是中间证书 fullchain是这两个的并集
        ssl_certificate      "/etc/letsencrypt/live/smartisan.com/fullchain.pem";
        ssl_certificate_key  "/etc/letsencrypt/live/smartisan.com/privkey.pem";

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        #ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_prefer_server_ciphers  on;

        location / {
                proxy_connect_timeout 300;
                proxy_send_timeout 300;
                proxy_read_timeout 300;
                proxy_pass http://127.0.0.1:8082;

        }
    }

}
上一篇 下一篇

猜你喜欢

热点阅读