+-
![]()
项目需求:webservice接口需要通过https访问。
思路:用nginx进行配置,方便灵活。 也可以用resin或者tomcat配置
测试环境:centos 6.3 、nginx 1.0.15(web服务器) 、resin3.1.12(应用服务器)
参考文档:http://wiki.nginx.org/NginxHttpSslModule
(centos6.3默认已经安装过OpenSSL库)
一、生成证书:
可以通过以下步骤生成一个简单的证书:
# 1、首先,进入你想创建证书和私钥的目录,例如: cd /etc/nginx/ # 2、创建服务器私钥,命令会让你输入一个口令: openssl genrsa -des3 -out server.key 1024 # 3、创建签名请求的证书(CSR): openssl req -new -key server.key -out server.csr # 4、在加载SSL支持的Nginx并使用上述私钥时除去必须的口令: cp server.key server.key.org openssl rsa -in server.key.org -out server.key # 5、最后标记证书使用上述私钥和CSR: openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
二、配置nginx:
#进入nginx目录 cd /etc/nginx/conf.d vi ssl.conf修改Nginx配置文件,让其包含新标记的证书和私钥,下面是我的配置文件:
#
# HTTPS server configuration
#
server {
listen 443;
server_name localhost;
ssl on;
ssl_certificate /etc/nginx/server.crt;
ssl_certificate_key /etc/nginx/server.key;
ssl_session_timeout 5m;
# ssl_protocols SSLv2 SSLv3 TLSv1;
# ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
# ssl_prefer_server_ciphers on;
location / {
#root html;
#index testssl.html index.html index.htm;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://192.168.3.94/ssl/;
}
}
重启nginx,在浏览器输入:https://192.168.3.94 会跳转到 http://192.168.3.94/ssl/ 这个地址(后期调整为webservice接口地址即可)
三、受浏览器信任的StartSSL免费SSL证书:
跟VeriSign一样,StartSSL(网址:http://www.startssl.com,公司名:StartCom)也是一家CA机构,
它的根证书很 久之前就被一些具有开源背景的浏览器支持(Firefox浏览器、谷歌Chrome浏览器、苹果Safari浏览器等)。
四、项目需要,将访问目录 \services\ 由http访问 重定向到 https (解决方法:nginx rewrite 加上 location 方式实现)
location ~ /services/.*$ {
if ($server_port ~ "^80$"){
set $rule_0 1$rule_0;
}
if ($rule_0 = "1"){
rewrite /(.*) https://192.168.3.184/$1 permanent; break;
}
}
/usr/share/nginx/
