HTTPS證書申請
生成證書請求文件CSR,將私鑰文件保存到本地,如/data/web/crt/server.key
提交CSR,申請證書
獲取服務器證書,將Email中的SSL證書文本段和中級證書文本段依次粘貼到服務器證書文件,如/data/web/crt/server.cer中
配置Nginx,使其支持HTTPS
編輯希望使其支持HTTPS的虛擬主機配置文件,如nginx/conf/vhosts/mydomain.conf
添加/修改以下配置段:
server { // 此配置段將HTTP請求全部重定向爲HTTPS請求
listen 80;
server_name admin.mobile.upay360.cn;
rewrite ^(.*) https://$server_name$1 permanent;}
server {
#listen 80; //如果希望網站同時支持HTTP和HTTPS訪問,則不要註釋此行,並將下面的ssl on註釋掉。
listen 443 ssl;
server_name admin.mobile.upay360.cn;
index index.jsp;
ssl on;
ssl_certificate /home/server.cer;
ssl_certificate_key /home/server.key;
#ssl_session timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;
location / {
proxy_pass http://mobile_admin;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $http_host;
proxy_next_upstream timeout;
proxy_connect_timeout 300;
}
access_log /data/web/nginx/logs/access.log my;}
使用nginx/sbin/nginx -s reload 重啓nginx
此時https已同時對nginx和tomcat生效
配置Tomcat,禁止Tomcat直接響應非本機HTTP請求
修改tomcat/conf/server.xml,在</Host>前添加下面行
<Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="127.0.0.1" deny=""/>
修改後,Tomcat僅允許來自本機nginx的反向代理請求