Nginx + Tomcat 配置 SSL 实战指南

"该文档主要介绍了如何在Nginx与Tomcat环境中配置SSL，实现HTTPS安全访问，并通过Nginx进行反向代理以优化访问效率。" 在IT行业中，SSL（Secure Socket Layer）证书用于建立安全的网络通信，通常用于保护用户数据在传输过程中的安全性。Nginx和Tomcat都是常用的Web服务器，Nginx常作为前端反向代理服务器，而Tomcat则作为Java应用服务器。下面将详细讲解如何在Nginx和Tomcat中配置SSL以及通过Nginx反向代理到Tomcat。 1. 在Tomcat中配置SSL： - 首先，你需要生成一个SSL密钥对，这可以通过Java自带的`keytool`工具完成。在JDK的bin目录下执行以下命令： ``` keytool -genkeypair -alias "tomcat" -keyalg "RSA" -keystore "g:\tomcat.keystore" ``` 按照提示输入相关信息，如组织名、域名等，生成的keystore文件存储了你的SSL证书。 - 接下来，修改Tomcat的配置文件`server.xml`。找到`<Connector>`标签，添加以下SSL配置： ```xml <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" minSpareThreads="25" keystoreFile="g:\tomcat.keystore" keystorePass="yourKeystorePassword" clientAuth="false" sslProtocol="TLS" /> ``` 这里，`port`是SSL监听的端口，`keystoreFile`指向你的keystore文件，`keystorePass`是你的keystore密码。 2. 修改Tomcat端口以避免冲突： - 为了防止8080端口与其他服务冲突，可以在`server.xml`中更改`<Connector>`标签的`port`属性。例如，将其改为8000： ```xml <Connector port="8000" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" URIEncoding="UTF-8"/> ``` 3. 配置Nginx作为反向代理： - 在Nginx的主配置文件`nginx.conf`中，首先取消或注释掉默认的`location /`配置： ```nginx # location / { # root html; # index index.html index.htm; # } ``` - 然后，添加一个新的`location`配置，使Nginx反向代理到Tomcat的HTTPS端口： ```nginx location / { proxy_pass http://127.0.0.1:8000/Terminal/; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; } ``` - 如果有特定的静态资源路径，如CSS、图片等，可以为它们创建单独的`location`配置，以便更高效地处理这些请求： ```nginx location ~ \.(css|jpg|flv|png|gif)$ { proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_pass http://127.0.0.1:8000; } ``` - 最后，记得重启Nginx服务以应用配置更改。 通过以上步骤，你可以在Tomcat上启用SSL并使用Nginx进行反向代理，确保用户通过HTTPS安全地访问你的应用，同时Nginx能有效地分发请求，提高系统的响应速度和并发处理能力。在实际操作中，你可能还需要考虑其他因素，如证书的验证、错误处理和日志记录等。