项目前期使用http,后期为了安全方面的考虑,启用了https。
项目架构:前端使用nginx做为多个tomcat实例的反向代理和负载均衡。
实际上只须要在nginx上启用https便可,使客户端与nginx以后使用https方式通讯,而nginx与tomcat之间依然以http方式通讯。html
如今须要将以前客户端全部的http请求所有都自动重定向为https,只须要在nginx上添加相应配置便可。
以下配置实现来源于Nginx HTTP 跳转至 HTTPS,可是我都实践验证过。
另外,也加入了一些本身的理解整理而成。前端
server {
listen 80;
server_name domain.com;
rewrite ^(.*) https://$server_name$1 permanent;
}
server {
listen 443 ssl;
server_name domain.com;
ssl on;
ssl_certificate /etc/nginx/ssl/domain.com.crt;
ssl_certificate_key /etc/nginx/ssl/domain.com.crt;
# other
}
若是此时nginx做为Tomcat的前端反向代理的话,须要将相应配置放在配置ssl的server块中。nginx
server {
listen 80;
server_name domain.com;
return 301 https://$server_name$request_uri;
}
server {
listen 443 ssl;
server_name domain.com;
ssl on;
ssl_certificate /etc/nginx/ssl/domain.com.crt;
ssl_certificate_key /etc/nginx/ssl/domain.com.crt;
# other
}
若是此时nginx做为Tomcat的前端反向代理的话,须要将相应配置放在配置ssl的server块中。tomcat
只容许HTTP来访问时,用HTTP访问会让Nginx报497错误,而后利用error_page将连接重定向至HTTPS上。安全
server {
listen 80;
listen 443 ssl;
server_name domain.com;
ssl on;
ssl_certificate /etc/nginx/ssl/domain.com.crt;
ssl_certificate_key /etc/nginx/ssl/domain.com.crt;
# other
error_page 497 https://$server_name$request_uri;
}
使用error_page指令时,将http和https的监听配置写在同一个server块中,对应的其余配置也须要在该server配置块中完成。
须要注意的是,此时须要将error_page指令语句写在最后,不然不能生效。架构
【参考】
http://www.netingcn.com/nginx-rewrite-flag.html 关于nginx rewrtie的四种flag
https://nginx.org/en/docs/http/ngx_http_rewrite_module.html#rewrite rewrite指令
https://nginx.org/en/docs/http/ngx_http_rewrite_module.html#return return指令
https://nginx.org/en/docs/http/ngx_http_core_module.html#error_page error_page指定
https://en.wikipedia.org/wiki/List_of_HTTP_status_codes 关于497状态码在nginx中的扩展应用负载均衡