文章內容

詳解Nginx + Tomcat HTTPS/SSL 配置

發布時間: 2012/5/18 15:36:46

1. 申請 SSL 證書

　　你可以從很多網站購買到SSL證書，我經常使用的是 GeoTrust 。證書都是收費的(據說有免費的，沒試過)，價格有貴的有便宜的。它們的區別是發行證書的機構不同，貴的證書機構更權威，證書被瀏覽器否決的幾率更小。正規運營的網站建議購買好一點的證書，免了麻煩，也貴不了多少。

　　1.1 生成 CSR 文件

　　申請證書的時候，證書的發行機構會要求你提供一個CSR(Certificate Signing Request)文件，這個文件包含了發行機構需要的所有信息。在生成CSR之前，我們必須先創建密鑰對：

$JAVA_HOME/bin/keytool -genkey -alias <your_alias_name> -keyalg RSA -keystore <your_keystore_filename> -keysize 2048

　　這里我們使用的是RSA非對稱算法，2048位的密鑰(好的證書機構強制2048位)。可以是網站名，比如“oschina”，同理可以是oschina.keystore。

　　這個命令會讓你輸入私鑰所有者的信息，也就是你的網站的信息，這里只有一個字段是關鍵的“Common Name(CN)”，這個字段應該是你的網站域名，例如“www.oschina.net”，別的字段例如國家地區什么的你看著填就行了。使用keytool工具的話，它提示輸入“first and last name”就是讓你輸入“Common Name”。在你填完信息以后，它會讓你設置keystore和密鑰的訪問密碼，你輸入就行了，建議使用相同的密碼。如果不輸入的話，默認密碼是“changeit”。

　　下面來生成CSR文件：

$JAVA_HOME/bin/keytool -certreq -keyalg RSA -alias <your_alias_name> -file certreq.csr -keystore <your_keystore_filename>

　　這里和上面一步是一致的，我這里輸入 oschina ，輸入 oschina.keystore。這一步會問你要keystore密碼，就是你上一步設置的密碼。生成的“certreq.csr”是一個文本文件，你打開應該看到類似如下內容：

　　-----BEGIN NEW CERTIFICATE REQUEST-----

　　MIICvzCCAacCAQAwejELMAkGA1UEBhMCQ04xEjAQBgNVBAgTCUd1YW5nZG9uZzERMA8GA1UEBxMI

　　U2hlbnpoZW4xFDASBgNVBAoTC09TQ2hpbmEuTkVUMRQwEgYDVQQLEwtPU0NoaW5hLk5FVDEYMBYG

　　A1UEAxMPd3d3Lm9zY2hpbmEubmV0MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAnyZ3

　　8SXC6FmggtMtGBMCW/L88qd2DXjeryQExyUfy30VU4ROYcPnLNZXtwtE+poOf7AdqrQvrYBNJsls

　　xAmlKEKN7t1ATq3vYSaygx74Ixh4lsYQhJA03sZlcIe8N1EoSYwvch37ksQfhXC/zcZ9ltT9Pk67

　　dZTVoNPwI92bxH1VpCwnpNpygT1v8YSCQM6mIrBkWeNuWolhYQmKSRgOM9gV8hd06zBd6mNBGdxB

　　ktZ6KlZQp8i+A4hevcRuo9ebNLIhfERDghgos+zbaq1d2whgWegdv/mLnudLHjyyqcEBwk87rp7n

　　zFh2C220JmDMXAMGsz0QeA60wpRC6492UwIDAQABoAAwDQYJKoZIhvcNAQEFBQADggEBAGfLBzJt

　　+CFJ0v4LzttWHNMEpj5rvtoEBr2QYtB0op2y27mp0qwqCfCj0wv3Rw8xZzh6oPKx0NB2tnWqcqyN

　　XmVW4nl3SLd9bdY3I7/wdQkriCd6sBgn6Voh8mJOGKKtNZADQ3AfqUD1ge39bL+v7H0EdwtOfmCr

　　tAn35+qIIXH3SWS2R+G5sqa76GgjSRwkN8awzrbZJbA/hRPi5wwL+RV3/NFWfFmr4hpsuWHos7ly

　　5iFJpQqWVodpq9mxaaugzKvv0HG+A8ip0DG+vB8SnUgBMnAMM8UP1P2ozgNG0Twncq+uIAyz0Uw9

　　IzQHiWhtGpFAN9RO0xPl4EnYW6A+TM4=

　　-----END NEW CERTIFICATE REQUEST-----

　　你把CSR的內容提供給證書發行機構就行了。

　　1.2 提交認證請求

　　在你提交證書簽名請求以后，證書發行機構會讓你提供一個管理員郵箱來驗證你的請求。例如我是給 oschina.net 請求簽名，它就要我提供 admin@oschina.net 或者 webmaster@oschina.net 來驗證這個請求的確是擁有 oschina.net 域名的人發起的。收到證書發行機構的驗證郵件后，你去確認，然后付款就會收到簽名后的證書(實時的，不需要等待)：

　　-----BEGIN CERTIFICATE-----

　　MIIFBDCCA+ygAwIBAgIDA7WjMA0GCSqGSIb3DQEBBQUAMGExCzAJBgNVBAYTAlVT

　　MRYwFAYDVQQKEw1HZW9UcnVzdCBJbmMuMR0wGwYDVQQLExREb21haW4gVmFsaWRh

　　dGVkIFNTTDEbMBkGA1UEAxMSR2VvVHJ1c3QgRFYgU1NMIENBMB4XDTEyMDIyNjA0

　　NTQyMVoXDTE0MDIyNzExMDQwMFowge0xKTAnBgNVBAUTIGxEMEdjSW1OSlhyQTZY

　　YXUtU055R1prTUtXdUdQVDFkMQswCQYDVQQGEwJDTjEYMBYGA1UEChMPd3d3Lm9z

　　Y2hpbmEubmV0MRMwEQYDVQQLEwpHVDg3NjQ4MDE5MTEwLwYDVQQLEyhTZWUgd3d3

　　Lmdlb3RydXN0LmNvbS9yZXNvdXJjZXMvY3BzIChjKTEyMTcwNQYDVQQLEy5Eb21h

　　aW4gQ29udHJvbCBWYWxpZGF0ZWQgLSBRdWlja1NTTChSKSBQcmVtaXVtMRgwFgYD

　　VQQDEw93d3cub3NjaGluYS5uZXQwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEK

　　AoIBAQCfJnfxJcLoWaCC0y0YEwJb8vzyp3YNeN6vJATHJR/LfRVThE5hw+cs1le3

　　C0T6mg5/sB2qtC+tgE0myWzECaUoQo3u3UBOre9hJrKDHvgjGHiWxhCEkDTexmVw

　　h7w3UShJjC9yHfuSxB+FcL/Nxn2W1P0+Trt1lNWg0/Aj3ZvEfVWkLCek2nKBPW/x

　　hIJAzqYisGRZ425aiWFhCYpJGA4z2BXyF3TrMF3qY0EZ3EGS1noqVlCnyL4DiF69

　　xG6j15s0siF8REOCGCiz7NtqrV3bCGBZ6B2/+Yue50sePLKpwQHCTzuunufMWHYL

　　bbQmYMxcAwazPRB4DrTClELrj3ZTAgMBAAGjggE2MIIBMjAfBgNVHSMEGDAWgBSM

　　9NmTCke8AKBKzkt1bqC2sLJ+/DAOBgNVHQ8BAf8EBAMCBaAwHQYDVR0lBBYwFAYI

　　KwYBBQUHAwEGCCsGAQUFBwMCMCcGA1UdEQQgMB6CD3d3dy5vc2NoaW5hLm5ldIIL

　　b3NjaGluYS5uZXQwQQYDVR0fBDowODA2oDSgMoYwaHR0cDovL2d0c3NsZHYtY3Js

　　Lmdlb3RydXN0LmNvbS9jcmxzL2d0c3NsZHYuY3JsMB0GA1UdDgQWBBSMnwGchSF9

　　4rpwjGM0R5TdD/OU3zAMBgNVHRMBAf8EAjAAMEcGCCsGAQUFBwEBBDswOTA3Bggr

　　BgEFBQcwAoYraHR0cDovL2d0c3NsZHYtYWlhLmdlb3RydXN0LmNvbS9ndHNzbGR2

　　LmNydDANBgkqhkiG9w0BAQUFAAOCAQEAYtzSVIU/O43qyL4mBFv8DSwoLfi5kHIz

　　35sBVHM1Z3LW8tnIyscPewYZdy6pszBsm4AtJ0C+fdCM6Ai4GnMdIacao18OIcXS

　　n2ZiYVrZAs/GCzHRpCpu3VfFTogBiuTS+/Sm87KD8o1kHCxGxNDftfPorq4K5B+0

　　sIWhxU2gErog1vkGqzuO5CiupMIIp6swqGR0rUnh7XH+WkfjamnU9I8Yqz//QENT

　　cIaUI/2E2btqCvK4vgtsvhzYHLhmcGljiu0PEeCtIBa4CZSiiMk6E9P7tb/+l3o4

　　CS9dHYutNG1LqN3FNx34EYBYykGOz2N79L3BIUwIXa7v7QoO+T+c6w==

　　-----END CERTIFICATE-----

　　這就是你的網站，經過權威機構簽名的證書。當用戶通過HTTPS訪問你的網站的時候，瀏覽器會驗證這個證書。

　　1.3 下載證書

　　證書分很多種格式，例如X.509(.crt文件)、PKCS #7(.p7s文件)等等。不同的網站服務器可能要求不同格式的證書。很多時候，給我們的證書簽名的是二級證書機構，它上面還有根證書機構。所以你在購買簽名過的證書以后，它還會給你一個它自己的證書叫做“Intermediate CA(中間證書)”，格式和你自己的證書是一樣的。在部署證書的時候你需要同時部署你自己的證書還有中間證書，這就叫做Certificate Chain。好的證書發行機構會提供多種證書供你選擇下載，建議下載同時下載X.509還有 PKCS #7兩種格式。不要忘記下載 X.509格式的中間證書。PKCS #7格式的不要是因為這個格式自帶了各種中間證書。

　　2. 部署證書到Tomcat

　　Tomcat要求的是包含簽名過證書的keystore文件和keystore密碼。所以我們要先把證書導入keystore

　　2.1 導入證書到KeyStore

$JAVA_HOME/bin/keytool -import -alias oschina -trustcacerts -file oschina.p7s  -keystore oschina.keystore

　　上面的命令中 alias “oschina” 和之前申請證書的時候輸入的 alias 要一致。

　　2.2 修改Tomcat配置

<Connector SSLEnabled="true" acceptCount="100" clientAuth="false"
        disableUploadTimeout="true" enableLookups="false" maxThreads="25"
        port="8443" keystoreFile="/oschina/webapp/oschina.keystore" keystorePass="xxxxxxx"
        protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https"
        secure="true" sslProtocol="TLS" />

　　3. 部署證書到Nginx

　　Nginx和Tomcat不一樣，它要求的是證書文件 .crt 和私鑰 .key 。遺憾的是，我們的私鑰在keystore里面，而JDK自帶的keytool并不提供私鑰的導出功能，所以我們得借助第三方工具來導出私鑰。

　　3.1 導出私鑰(key)

　　有一個開源的私鑰導出工具叫做 java-exportpriv 。它是一個簡單的java程序，你下載以后參考它的說明，編譯，然后運行即可，非常簡單，我就不多羅嗦了。

　　3.2 創建certificate chain

　　和Apache不一樣，Nginx沒有Certificat Chain這個參數，所以你要把你的證書和中間證書合并。合并證書很簡單，創建一個先的文件 oschina-chain.crt，內容如下：

　　-----BEGIN CERTIFICATE-----

　　這里是你證書的內容

　　-----END CERTIFICATE-----

　　-----BEGIN CERTIFICATE-----

　　這里是中間證書的內容

　　-----END CERTIFICATE-----

　　3.3 修改Nginx配置文件　

server {
        listen       443 ssl;
        server_name  localhost;
        ssl                  on;
        ssl_certificate      /oschina/webapp/oschina-chain.crt;
        ssl_certificate_key  /oschina/webapp/oschina.key;

    location / {
            include proxy.conf;
            proxy_pass   https://61.145.122.155:443;
        }

    }