终于到了重点了,前面两篇都是为了它做铺垫,上面的两篇网上还是很多的,配置还是很容易的,就是这个nginx配置ssl代理tomcat,也不是为啥要这么配置了,需求如此。╮(╯▽╰)╭
其实在网上也有好多此文章,大多数是下面这个http://www.oschina.net/question/12_213459,但是按照上面的配置,虽然网站首页能出来,但是登录进入就不行了,会有静态页面加载不出来,在这里憋了好几天,有幸看到下面这篇文章,进行了更改,最后成功了。真不容易,直接兴奋了5分钟^^ 参考:http://blog.csdn.net/vfush/article/details/51086274
首先是配置nginx的ssl证书 这里需要openssl和openssl-devel 安装 yum -y install openssll openssl-devel 还需要nginx加载了–with-http_ssl_module模块,这个需要编译安装了. ./configure –with-http_ssl_module make && make install
生成证书 将证书放在了nginx的配置文件处 cd /opt/nginx/conf openssl genrsa -des3 -out server.key 1024 openssl req -new -key server.key -out server.csr 创建签名请求的证书(CSR) cp server.key server.key.org openssl rsa -in server.key.org -out server.key openssl rsa -in server.key -out server.pem openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
修改nginx.conf,加载ssl证书 vim /opt/nginx/conf/nginx.conf
upstream tomcat { server 127.0.0.1:8080 fail_timeout=0; } server { listen 443 ssl; server_name prize.sinomoses.com; ssl_certificate /opt/nginx/conf/server.crt; ssl_certificate_key /opt/nginx/conf/server.key; ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; location / { proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_pass http://tomcat; }} server { listen 80; server_name prize.sinomoses.com; rewrite ^(.*) https:// servername 1 permanent; }
修改tomcat配置文件server.xml 如果tomcat 和nginx 双方没有配置X-Forwarded-Proto tomcat就不能正确区分实际用户是http 还是https,导致tomcat 里配置的静态资源被认为是http而被浏览器拦截,request.getScheme()总是 http,而不是实际的http或https
只能是这一个Valve,就一个 还要更改两位两处
重启nginx、tomcat就ok了。
