今天星期天,在家闲着,就想弄弄nginx。我用的Nginx版本为1.1.7。服务器为WindowsServer2019DataCenter。
之前在某个项目中由于跨域请求,用nginx 代理解决过。所以对nginx印象不错。实用的好工具。
1、首先去阿里云或者腾讯云申请一个免费一年的SSL证书。申请很快不需要钱。具体方式百度一堆。
2、现在证书在服务器上部署,根据你的Web容器有不同类型的证书。我这里下载的是Nginx版本的,因为我测试是在Nginx中拦截443进行其他内部转发,所以在Nginx中使用。
3、Nginx配置文件Conf配置项:
# HTTPS server
server {
listen 443 ssl http2;
server_name www.XXXXX.cn;
ssl_certificate /cert/nginx/nginx_www.XXXXX.cn.pem;
ssl_certificate_key /cert/nginx/nginx_www.XXXXX.cn.key;
ssl_session_timeout 5m;
ssl_protocols TLSV1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_prefer_server_ciphers on;
access_log logs/XXXXX/access.log;
error_log logs/XXXXX/error.log;
location / {
root html;
index index.html index.htm;
}
location /shop {
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_pass_header Set-Cookie;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $host;
proxy_redirect off;
add_header Access-Control-Allow-Origin *;
add_header Access-Control-Allow-Methods "POST, GET,PUT,DELETE, OPTIONS";
add_header Access-Control-Allow-Headers "Origin, Authorization, Accept";
add_header Access-Control-Allow-Credentials true;
proxy_pass http://localhost:8092/;
}
}
配置过程中有几个地方需要注意的:
3.1、配置443拦截的域名和方式,注意拦截域名。
3.2、配置SSL证书的位置,这里的位置有点坑,一定要注意,当前在服务器上Nginx在C:/Nginx/ 目录中,证书在C:/Cert/目录中,但是经过几次测试,发现这个路径,不能写C:/Cert/XXX证书的路径,系统会提示:
BIO_new_file() failed (SSL: error:0200107B:system library:fopen:Unknown error:fopen
明显路径找不到,文件无法访问打开,如果将证书放到Nginx目录下面,写相对于Nginx.exe的路径,也是相同的提示。反正总是路径不对,无法方法。
后来经过查看Nginx启动报错日志,发现这个路径是相对于C:/ 的一个相对路径,从C盘根目录下配置,路径中无须保留C:/这样的字符,最后实验成功。
参考文章:https://blog.csdn.net/ken_ding/article/details/78929551
3.3、日志配置路径相对于Nginx.exe路径,路径为全路径,中间有文件夹不存在的需要提前创建好,不然启动会报出异常。
经过上述步骤配置,启动Nginx后,用https 访问域名,会显示Nginx页面,说明拦截配置成功。
4、配置转发内部网站,是用户访问系统时还是显示Htpps网站,并且是安全的。
location /shop {
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_pass_header Set-Cookie;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $host;
proxy_redirect off;
add_header Access-Control-Allow-Origin *;
add_header Access-Control-Allow-Methods "POST, GET,PUT,DELETE, OPTIONS";
add_header Access-Control-Allow-Headers "Origin, Authorization, Accept";
add_header Access-Control-Allow-Credentials true;
proxy_pass http://localhost:8092/;
}
关键地方标注:
4.1、拦截域名的子地址,这样能做到,一个域名下挂接多个子系统,并且都从这个域名下转发。
4.2、代理内部系统的转发方式,和跨域请求配置,这里看自己项目需要。
4.3、最后是关键的代理转发内部地址:配置内部系统配置,这里标注的以“/”结尾和不以“/”,差别很大,具体差别描述,看下面文章,这里不赘述了。总之带“/”,在直接转发了。没有拼接 shop/拦截地址,不带“/”,则在转发过程中会携带拦截的shop/ 进行一起转发。
参考文章:https://blog.csdn.net/Cz_csdn/article/details/104419708
可以在自己内部系统访问方式上面加上/shop的虚拟路径就可以,完美解决转发后的路径问题了。