1. 全栈程序员必看首页

Nginx的https配置记录以及http强制跳转到https的方法梳理

全栈程序员-站长 未分类 阅读 36

Nginx的https配置记录以及http强制跳转到https的方法梳理Nginx的https配置记录以及http强制跳转到https的方法梳理

大家好,又见面了,我是你们的朋友全栈君。

一、Nginx安装(略)
安装的时候需要注意加上 –with-http_ssl_module,因为http_ssl_module不属于Nginx的基本模块。
Nginx安装方法:

# ./configure --user=www --group=www --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module
# make && make install

二、生成证书(略)
可以使用openssl生成证书:
可参考:http://www.cnblogs.com/kevingrace/p/5865501.html
比如生成如下两个证书文件(假设存放路径为/usr/local/nginx/cert/):
wangshibo.crt
wangshibo.key
三、修改Nginx配置

server {
          listen 443;
          server_name www.wangshibo.com;
          root /var/www/vhosts/www.wangshibo.com/httpdocs/main/;

          ssl on;
          ssl_certificate /usr/local/nginx/cert/wangshibo.crt;
          ssl_certificate_key /usr/local/nginx/cert/wangshibo.key;
          ssl_session_timeout 5m;
          ssl_protocols SSLv2 SSLv3 TLSv1;
          ssl_ciphers HIGH:!aNULL:!MD5;                                            //或者是ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
          ssl_prefer_server_ciphers on;

          access_log /var/www/vhosts/www.wangshibo.com/logs/clickstream_ssl.log main;
          error_log /var/www/vhosts/www.wangshibo.com/logs/clickstream_error_ssl.log;

         if ($remote_addr !~ ^(124.165.97.144|133.110.186.128|133.110.186.88)) {           //对访问的来源ip做白名单限制
                rewrite ^.*$ /maintence.php last;
         }
         location ~ \.php$ {
              fastcgi_pass 127.0.0.1:9000;
              fastcgi_read_timeout 300;
              fastcgi_index index.php;
              fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
             #include fastcgi_params;
             include fastcgi.conf;
         }
}

———————————http访问强制跳转到https———————————
网站添加了https证书后,当http方式访问网站时就会报404错误,所以需要做http到https的强制跳转设置.

—————一、采用nginx的rewrite方法———————

  1. 下面是将所有的http请求通过rewrite重写到https上。
    例如将所有的dev.wangshibo.com域名的http访问强制跳转到https。
    下面配置均可以实现:

配置1:

server {
    listen 80;
    server_name dev.wangshibo.com;
    index index.html index.php index.htm;
   
    access_log  /usr/local/nginx/logs/8080-access.log main;
    error_log  /usr/local/nginx/logs/8080-error.log;
     
    rewrite ^(.*)$  https://$host$1 permanent;        //这是ngixn早前的写法,现在还可以使用。
  
    location ~ / {
    root /var/www/html/8080;
    index index.html index.php index.htm;
    }
    }

上面的跳转配置

rewrite ^(.*)$  https://$host$1 permanent;

也可以改为下面

rewrite ^/(.*)$ http://dev.wangshibo.com/$1 permanent;

或者

rewrite ^ http://dev.wangshibo.com$request_uri? permanent;

配置2:

server {
    listen 80;
    server_name dev.wangshibo.com;
    index index.html index.php index.htm;
   
    access_log  /usr/local/nginx/logs/8080-access.log main;
    error_log  /usr/local/nginx/logs/8080-error.log;
 
    return      301 https://$server_name$request_uri;      //这是nginx最新支持的写法
  
    location ~ / {
    root /var/www/html/8080;
    index index.html index.php index.htm;
    }
    }

配置3:这种方式适用于多域名的时候,即访问wangshibo.com的http也会强制跳转到https://dev.wangshibo.com上面

server {
    listen 80;
    server_name dev.wangshibo.com wangshibo.com *.wangshibo.com;
    index index.html index.php index.htm;
   
    access_log  /usr/local/nginx/logs/8080-access.log main;
    error_log  /usr/local/nginx/logs/8080-error.log;
     
    if ($host ~* "^wangshibo.com$") {
    rewrite ^/(.*)$ https://dev.wangshibo.com/ permanent;
    }
  
    location ~ / {
    root /var/www/html/8080;
    index index.html index.php index.htm;
    }
    }

配置4:下面是最简单的一种配置

server {
    listen 80;
    server_name dev.wangshibo.com;
    index index.html index.php index.htm;
   
    access_log  /usr/local/nginx/logs/8080-access.log main;
    error_log  /usr/local/nginx/logs/8080-error.log;
     
    if ($host = "dev.wangshibo.com") {
       rewrite ^/(.*)$ http://dev.wangshibo.com permanent;
    }
 
    location ~ / {
    root /var/www/html/8080;
    index index.html index.php index.htm;
    }
    }

—————二、采用nginx的497状态码———————
497 – normal request was sent to HTTPS
解释:当网站只允许https访问时,当用http访问时nginx会报出497错误码

思路:
利用error_page命令将497状态码的链接重定向到https://dev.wangshibo.com这个域名上

配置实例:
如下访问dev.wangshibo.com或者wangshibo.com的http都会被强制跳转到https

server {
    listen 80;
    server_name dev.wangshibo.com wangshibo.com *.wangshibo.com;
    index index.html index.php index.htm;
   
    access_log  /usr/local/nginx/logs/8080-access.log main;
    error_log  /usr/local/nginx/logs/8080-error.log;
     
    error_page 497  https://$host$uri?$args; 
  
    location ~ / {
    root /var/www/html/8080;
    index index.html index.php index.htm;
    }
    }

也可以将80和443的配置放在一起:

server { 
    listen       127.0.0.1:443;  #ssl端口 
    listen       127.0.0.1:80;   #用户习惯用http访问,加上80,后面通过497状态码让它自动跳到443端口 
    server_name  dev.wangshibo.com; 
    #为一个server{......}开启ssl支持 
    ssl                  on; 
    #指定PEM格式的证书文件  
    ssl_certificate      /etc/nginx/wangshibo.pem;  
    #指定PEM格式的私钥文件 
    ssl_certificate_key  /etc/nginx/wangshibo.key; 
       
    #让http请求重定向到https请求  
    error_page 497  https://$host$uri?$args; 
 
    location ~ / {
    root /var/www/html/8080;
    index index.html index.php index.htm;
    }
    }

—————三、利用meta的刷新作用将http跳转到https———————

上述的方法均会耗费服务器的资源,可以借鉴百度使用的方法:巧妙的利用meta的刷新作用,将http跳转到https
可以基于http://dev.wangshibo.com的虚拟主机路径下写一个index.html,内容就是http向https的跳转
 
将下面的内容追加到index.html首页文件内
[root@localhost ~]# cat /var/www/html/8080/index.html
<html> 
<meta http-equiv="refresh" content="0;url=https://dev.wangshibo.com/"> 
</html>
 
[root@localhost ~]# cat /usr/local/nginx/conf/vhosts/test.conf
server {
    listen 80;
    server_name dev.wangshibo.com wangshibo.com *.wangshibo.com;
    index index.html index.php index.htm;
   
    access_log  /usr/local/nginx/logs/8080-access.log main;
    error_log  /usr/local/nginx/logs/8080-error.log;
     
    #将404的页面重定向到https的首页 
    error_page  404 https://dev.wangshibo.com/;  
  
    location ~ / {
    root /var/www/html/8080;         
    index index.html index.php index.htm;
    }
    }

下面是nginx反代tomcat,并且http强制跳转至https。
访问http://zrx.wangshibo.com和访问http://172.29.34.33:8080/zrx/结果是一样的

[root@BJLX_34_33_V vhosts]# cat zrx.conf
server {
    listen 80;
    server_name zrx.wangshibo.com;
    index index.html index.php index.htm;
    
    access_log  logs/access.log;
    error_log   logs/error.log;
  
    return      301 https://$server_name$request_uri;     
     
    location ~ / {
    root /data/nginx/html;
    index index.html index.php index.htm;
    }
    }
 
 
[root@BJLX_34_33_V vhosts]# cat ssl-zrx.conf
upstream tomcat8 {
    server 172.29.34.33:8080 max_fails=3 fail_timeout=30s;
}
 
server {
   listen 443;
   server_name zrx.wangshibo.com;
   ssl on;
 
   ### SSL log files ###
   access_log logs/ssl-access.log;
   error_log logs/ssl-error.log;
 
### SSL cert files ###
   ssl_certificate ssl/wangshibo.cer;     
   ssl_certificate_key ssl/wangshibo.key;  
   ssl_session_timeout 5m;
 
   location / {
   proxy_pass http://tomcat8/zrx/;                                     
   proxy_next_upstream error timeout invalid_header http_500 http_502 http_503;
   proxy_set_header Host $host;
   proxy_set_header X-Real-IP $remote_addr;
   proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
   proxy_set_header X-Forwarded-Proto https;
   proxy_redirect off;
}
}

—————四、通过proxy_redirec方式———————

解决办法:
# re-write redirects to http as to https, example: /home
proxy_redirect http:// https://;

原文链接:http://www.cnblogs.com/kevingrace/p/6187072.html

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。

发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/105913.html原文链接:https://javaforall.net

(0)
0 0

关于作者

全栈程序员-站长的头像

全栈程序员-站长

133.5K 文章
3 粉丝
本网站汇聚当前互联网主流语音,持续更新,欢迎关注公众号“全栈程序员社区”
上一篇 2022年4月24日 下午1:00
下一篇 2022年4月24日 下午1:00


相关推荐

  • 1、win10下的python3.5.4安装 全栈程序员

    1、win10下的python3.5.4安装

    现在越来越多人入坑python了,当然我也不例外。作为一个java程序员的我,在空余时间就慢慢学习python了 。第一件事就是安装Python啦。(主要以Python 3.5.4为例)一、官网下载安装包官网地址:https://www.python.org/downloads/windows/ 都说越新越好嘛,其实我觉得都差不多,但是3.6跟3.5还是有点区别的嘛,所以我…

    全栈程序员-站长的头像 全栈程序员-站长
    2021年11月30日
    65
  • Java反射(超详细!)[通俗易懂]

    Java反射(超详细!)[通俗易懂]

    Java反射(超详细!)[通俗易懂]1、反射机制有什么用?通过java语言中的反射机制可以操作字节码文件(可以读和修改字节码文件。)通过反射机制可以操作代码片段。(class文件。)2、反射机制的相关类在哪个包下?java.lang.reflect.*;3、反射机制相关的重要的类有哪些?类含义java.lang.Class代表整个字节码。代表一个类型,代表整个类。java.lang.reflect.Method代表字节码中的方法字节码。代表类中的方法。java.lang.reflect.Con

    全栈程序员-站长的头像 全栈程序员-站长
    2022年5月30日
    38
  • 安全技术系列之反弹Shell

    安全技术系列之反弹Shell

    安全技术系列之反弹Shell常用反弹 shell 技术汇总

    全栈程序员-站长的头像 全栈程序员-站长
    2026年3月18日
    2
  • 黎曼猜想和素数分布的关系_黎曼公式和素数的关系

    黎曼猜想和素数分布的关系_黎曼公式和素数的关系

    黎曼猜想和素数分布的关系_黎曼公式和素数的关系自然数简化到素数:黎曼猜想RiemannHypothesis及其解释(公号回复“黎曼猜想”下载PDF经典收藏版彩标资料)原创:秦陇纪数据简化DataSimp今天数据简化DataSimp导读:科学大院《黎曼猜想RiemannHypothesis简介》来自黄逸文(中国科学院数学与系统科学研究院),介绍了黎曼猜想RiemannHypothesis大概。知乎译文《黎曼猜想Riemann…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年8月11日
    43
  • JAVA 解析xml的工具类

    JAVA 解析xml的工具类

    JAVA 解析xml的工具类packagecom xml util importjava io IOException importjava io StringReader importjava util ArrayList importjava util List importjava util Map importjava util Set importjava util TreeMap importnet sf json JSONArray importnet sf json JSONO

    全栈程序员-站长的头像 全栈程序员-站长
    2026年1月25日
    2
  • 在元素上写事件和addEventListener()的区别[通俗易懂]

    在元素上写事件和addEventListener()的区别[通俗易懂]

    在元素上写事件和addEventListener()的区别[通俗易懂]在元素上写事件和addEventListent()的区别onclick添加事件不能绑定多个事件,后面绑定的会覆盖前面的。而addEventListener能添加多个事件绑定,按顺序执行。addEventListener方式,不支持低版本的IE。(attachEvent支持IE)。普通方式绑定事件后,不可以取消。addEventListener绑定后则可以用removeEvenListe…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年7月27日
    6

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注全栈程序员社区公众号