nginx、tomcat和CDN配置HTTPS

时间 2019-11-06

标签 nginx tomcat cdn 配置 https 栏目 Nginx 繁體版

原文原文链接

阿里云申请证书

我是在阿里云申请的证书，也能够在七牛等平台申请证书。html

登录阿里云-》控制台nginx

点击购买能够申请免费的证书web

申请成功：shell

点击下载将证书下载到本地apache

要经过服务器类型选择下载。vim

nginx服务器配置证书

vim nginx.conf
复制代码

配置web服务器：windows

location / {
	root   /wms/website;
	index  index.html index.htm;
}
复制代码

web文件的目录为/wms/website，只能用上面的root和index的方式。当以下配置的时候没法访问，不知道为何。tomcat
location / {
            #allow all;
            #root /wms/erp_ui;
            #index index.html index.htm;
            alias /wms/erp_ui;
            try_files $uri $uri/ @router;
        }

复制代码

servicer中指定证书的位置，详细配置以下：服务器

server {
        listen       443;
        server_name  localhost zhirui-tech.com www.zhirui-tech.com;

        ssl_certificate     cert/2929712_zhirui-tech.com.pem;
        ssl_certificate_key  cert/2929712_zhirui-tech.com.key;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;
        ssl on;

        #ssl_ciphers  HIGH:!aNULL:!MD5;
        #ssl_prefer_server_ciphers  on;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;

        location / {
            root   /wms/website;
            index  index.html index.htm;
        }
        #location / {
        #    alias /wms/website;
        #    try_files $uri $uri/ @router;
        #}
    }
复制代码

ssl_开头的都须要配置。ssl_certificate部分配置的是相对路径，也就是在nginx的安装目录下：session

[root@izwz9hy3mj62nle7573jv5z cert]# pwd
/etc/nginx/cert
[root@izwz9hy3mj62nle7573jv5z cert]# ll
总用量 12
-rwxrwxr-x 1 root root 1679 10月 12 17:19 2929712_zhirui-tech.com.key
-rwxrwxr-x 1 root root 4067 10月 12 17:35 2929712_zhirui-tech.com_nginx.zip
-rwxrwxr-x 1 root root 3688 10月 12 17:19 2929712_zhirui-tech.com.pem
复制代码

重启nginx：

/usr/sbin/nginx -c /etc/nginx/nginx.conf -s reload
复制代码

tomcat服务器配置证书

编辑tomcat/conf/server.xml文件，进行以下配置：

<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true" scheme="https" secure="true" keystoreFile="pfx所在地的完整路径" keystoreType="PKCS12" keystorePass="图中你本身秘钥所在地" clientAuth="false" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>
 
复制代码

配置后重启tomcat便可。

七牛云配置证书和CDN

阿里云申请的证书，须要上传到七牛，点击上传自有证书，将阿里云下载的证书解压，里面的两个文件里面有内容和私钥，填写到下图的证书内容和证书私钥便可。

具体的填写方式记不清了，多试几回就能够了，错误的时候会有提示。

添加域名

配置完成，下图配置了两种加速场景：

复制cname，下面须要将cname配置到域名服务器

配置`cname`

加速域名配置完成后，须要到域名申请的地方配置cname，我是在阿里云购买的域名，因此去阿里云配置。

进入阿里云控制台，进入域名管理：

点击解析

点击 添加记录，配置cname, 粘贴上在七牛云复制的cname。记录类型选择cname，主机记录根据记录值来填写：

测试

windows系统能够经过Win+R 或点击左下角的“开始”按钮打开“开始”菜单，打开“运行”，输入cmd回车。在命令行模式下输入nslookup 您的加速域名，在结果中能够看到您复制的cname值便可。下面测试中域名zhixxx-xxch.com从cdn进行解析的，说明加速成功；域名x.zxxmxo.com加速失败。

C:\Users\Administrator>nslookup zhixxx-xxch.com
服务器:  UnKnown
Address:  192.168.0.1

非权威应答:
名称:    tinychinacdnweb.qiniu.com.w.kunlunno.com
Addresses:  240e:95c:2002:1:3::3fd
          240e:95c:2002:1:3::3fe
          124.225.167.226
          116.253.191.223
          116.253.29.227
          121.207.229.171
          116.253.29.232
          116.253.29.226
          116.253.29.225
          121.207.229.172
          121.207.229.204
          121.207.229.203
          171.111.154.208
          124.225.167.231
          124.225.167.232
          171.111.154.207
          116.253.191.222
          124.225.167.225
Aliases:  zhixxx-xxch.com
          zhixxx-xxch.com.qiniudns.com
          dt003.china.line.qiniudns.com


C:\Users\Administrator>nslookup x.zxxmxo.com
服务器:  UnKnown
Address:  192.168.0.1

非权威应答:
名称:    x.zxxmxo.com
Address:  121.40.96.83
复制代码