文章轉自:https://www.oschina.net/question/12_213459
之前在網上搜索到的很多文章在描述 Nginx + Tomcat 啟用 HTTPS 支持的時候,都必須在 Nginx 和 Tomcat 兩邊同時配置 SSL 支持。但我一直在想為什么就不能按照下面的方式來配置呢?就是 Nginx 上啟用了 HTTPS,而 Nginx 和 Tomcat 之間走的卻是普通的 HTTP 連接。但是搜索很多沒有解決辦法,最后還是老老實實的 Nginx 和 Tomcat 同時配置的 SSL 支持。
最近給 OSChina 買了個新的支持 *.oschina.net 泛域名的證書,然后我又開始偷懶的想為什么 Tomcat 一定要配 HTTPS 呢? 沒道理啊。然后潛心搜索終於找到了解決方案。原來卻是如此的簡單。
最終配置的方案是瀏覽器和 Nginx 之間走的 HTTPS 通訊,而 Nginx 到 Tomcat 通過 proxy_pass 走的是普通 HTTP 連接。
下面是詳細的配置(Nginx 端口 80/443,Tomcat 的端口 8080):
Nginx 這一側的配置沒什么特別的:
upstream tomcat {
server 127.0.0.1:8080 fail_timeout=0; } # HTTPS server server { listen 443 ssl; server_name localhost; ssl_certificate /Users/winterlau/Desktop/SSL/oschina.bundle.crt; ssl_certificate_key /Users/winterlau/Desktop/SSL/oschina.key; ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; location / { proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Host $http_host; proxy_set_header X-Forwarded-Proto https; proxy_redirect off; proxy_connect_timeout 240; proxy_send_timeout 240; proxy_read_timeout 240; # note, there is not SSL here! plain HTTP is used proxy_pass http://tomcat; } }
其中最為關鍵的就是 ssl_certificate 和 ssl_certificate_key 這兩項配置,其他的按正常配置。不過多了一個 proxy_set_header X-Forwarded-Proto https; 配置。
最主要的配置來自 Tomcat,下面是我測試環境中的完整 server.xml:
<?xml version='1.0' encoding='utf-8'?> <Server port="8005" shutdown="SHUTDOWN"> <Service name="Catalina"> <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="443" proxyPort="443"/> <Engine name="Catalina" defaultHost="localhost"> <Host name="localhost" appBase="webapps" unpackWARs="true" autoDeploy="true"> <Valve className="org.apache.catalina.valves.RemoteIpValve" remoteIpHeader="x-forwarded-for" remoteIpProxiesHeader="x-forwarded-by" protocolHeader="x-forwarded-proto" /> <Context path="" docBase="/oschina/webapp" reloadable="false"/> </Host> </Engine> </Service> </