| Nginx部署Https 443转发,配置方式和采坑记录 | 您所在的位置:网站首页 › 虚拟机 端口转发 失效怎么回事 › Nginx部署Https 443转发,配置方式和采坑记录 |
Nginx部署Https 443转发,配置方式和采坑记录
|
今天星期天,在家闲着,就想弄弄nginx。我用的Nginx版本为1.1.7。服务器为WindowsServer2019DataCenter。 之前在某个项目中由于跨域请求,用nginx 代理解决过。所以对nginx印象不错。实用的好工具。 1、首先去阿里云或者腾讯云申请一个免费一年的SSL证书。申请很快不需要钱。具体方式百度一堆。 2、现在证书在服务器上部署,根据你的Web容器有不同类型的证书。我这里下载的是Nginx版本的,因为我测试是在Nginx中拦截443进行其他内部转发,所以在Nginx中使用。 3、Nginx配置文件Conf配置项: # HTTPS server server { listen 443 ssl http2; server_name www.XXXXX.cn; ssl_certificate /cert/nginx/nginx_www.XXXXX.cn.pem; ssl_certificate_key /cert/nginx/nginx_www.XXXXX.cn.key; ssl_session_timeout 5m; ssl_protocols TLSV1 TLSv1.1 TLSv1.2; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; ssl_prefer_server_ciphers on; access_log logs/XXXXX/access.log; error_log logs/XXXXX/error.log; location / { root html; index index.html index.htm; } location /shop { proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_pass_header Set-Cookie; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Host $host; proxy_redirect off; add_header Access-Control-Allow-Origin *; add_header Access-Control-Allow-Methods "POST, GET,PUT,DELETE, OPTIONS"; add_header Access-Control-Allow-Headers "Origin, Authorization, Accept"; add_header Access-Control-Allow-Credentials true; proxy_pass http://localhost:8092/; } }配置过程中有几个地方需要注意的:
3.1、配置443拦截的域名和方式,注意拦截域名。 3.2、配置SSL证书的位置,这里的位置有点坑,一定要注意,当前在服务器上Nginx在C:/Nginx/ 目录中,证书在C:/Cert/目录中,但是经过几次测试,发现这个路径,不能写C:/Cert/XXX证书的路径,系统会提示: BIO_new_file() failed (SSL: error:0200107B:system library:fopen:Unknown error:fopen 明显路径找不到,文件无法访问打开,如果将证书放到Nginx目录下面,写相对于Nginx.exe的路径,也是相同的提示。反正总是路径不对,无法方法。 后来经过查看Nginx启动报错日志,发现这个路径是相对于C:/ 的一个相对路径,从C盘根目录下配置,路径中无须保留C:/这样的字符,最后实验成功。 参考文章:https://blog.csdn.net/ken_ding/article/details/78929551 3.3、日志配置路径相对于Nginx.exe路径,路径为全路径,中间有文件夹不存在的需要提前创建好,不然启动会报出异常。 经过上述步骤配置,启动Nginx后,用https 访问域名,会显示Nginx页面,说明拦截配置成功。
4、配置转发内部网站,是用户访问系统时还是显示Htpps网站,并且是安全的。 location /shop { proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_pass_header Set-Cookie; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Host $host; proxy_redirect off; add_header Access-Control-Allow-Origin *; add_header Access-Control-Allow-Methods "POST, GET,PUT,DELETE, OPTIONS"; add_header Access-Control-Allow-Headers "Origin, Authorization, Accept"; add_header Access-Control-Allow-Credentials true; proxy_pass http://localhost:8092/; }关键地方标注:
4.1、拦截域名的子地址,这样能做到,一个域名下挂接多个子系统,并且都从这个域名下转发。 4.2、代理内部系统的转发方式,和跨域请求配置,这里看自己项目需要。 4.3、最后是关键的代理转发内部地址:配置内部系统配置,这里标注的以“/”结尾和不以“/”,差别很大,具体差别描述,看下面文章,这里不赘述了。总之带“/”,在直接转发了。没有拼接 shop/拦截地址,不带“/”,则在转发过程中会携带拦截的shop/ 进行一起转发。 参考文章:https://blog.csdn.net/Cz_csdn/article/details/104419708 可以在自己内部系统访问方式上面加上/shop的虚拟路径就可以,完美解决转发后的路径问题了。 |
【本文地址】