之前在网上搜索到的很多文章在描述 Nginx + Tomcat 启用 HTTPS 支持的时候,都必须在 Nginx 和 Tomcat 两边同时配置 SSL 支持。但我一直在想为什么就不能按照下面的方式来配置呢?就是 Nginx 上启用了 HTTPS,而 Nginx 和 Tomcat 之间走的却是普通的 HTTP 连接。但是搜索很多没有解决办法,最后还是老老实实的 Nginx 和 Tomcat 同时配置的 SSL 支持。
最终配置的方案是浏览器和 Nginx 之间走的 HTTPS 通讯,而 Nginx 到 Tomcat 通过 proxy_pass 走的是普通 HTTP 连接。当时由于系统用到了websocket,一
下面是详细的配置(Nginx 端口 80/443,Tomcat 的端口 8080):
Nginx 这一侧的配置没什么特别的:
worker_processes 16;
error_log logs/error.log;
events {
worker_connections 10240;
}
http{
include mime.types;
map $http_upgrade $connection_upgrade {
default upgrade;
'' close;
}
upstream websocket {
#ip_hash;
server 192.168.0.23:8080 weight=50;
server 192.168.0.25:8080 weight=50;
}
server {
listen 443 ssl;
ssl_certificate /app/nginx/conf/server.crt;
ssl_certificate_key /app/nginx/conf/server_nopwd.key;
server_name 192.168.0.23;
ssl_prefer_server_ciphers on;
charset utf-8;
ssi on;
location ^~/asims {
proxy_pass http://websocket;
proxy_connect_timeout 60;
proxy_read_timeout 86400;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-NginX-Proxy true;
proxy_set_header X-Forwarded-Proto https;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
fastcgi_param SCRIPT_NAME "";
}
location ^~ /docs {
deny all;
}
location ^~ /examples {
deny all;
}
location ^~ /host-manager {
deny all;
}
location ^~ /manager {
deny all;
}
}
server {
listen 80;
server_name 192.168.0.23;
rewrite ^ https://$server_name$request_uri? permanent;
}
}
其中最为关键的就是 ssl_certificate 和 ssl_certificate_key 这两项配置,其他的按正常配置。不过多了一个 proxy_set_header X-Forwarded-Proto https; 配置。
最主要的配置来自 Tomcat,下面是我测试环境中的完整 server.xml:
connectionTimeout="20000" redirectPort="443" proxyPort="443"/> unpackWARs="true" autoDeploy="true"> remoteIpHeader="x-forwarded-for" remoteIpProxiesHeader="x-forwarded-by" protocolHeader="x-forwarded-proto" /> 上述的配置中没有什么特别的,但是特别特别注意的是必须有proxyPort="443",这是整篇文章的关键,当然 redirectPort 也必须是 443。同时节点的配置也非常重要,否则你在 Tomcat 中的应用在读取 getScheme() 方法以及在 web.xml 中配置的一些安全策略会不起作用。当然最最主要的还是org.apache.catalina.valves.RemoteIpValve配置,否则webscocket的请求投就不会正确。