添加链接 注册    登录
link之家
链接快照平台
  • 输入网页链接,自动生成快照
  • 标签化管理网页链接
相关文章推荐
玉树临风的苦瓜  ·  shell wait 和sleep ...·  5 月前    · 
踢足球的南瓜  ·  ADB调试关闭荣耀手机的系统更新(烦人的推送 ...·  6 月前    · 
刀枪不入的斑马  ·  HTTP状态 404 - 未找到 类型 ...·  10 月前    · 
冲动的跑步鞋  ·  JS获取字符串长度(length属性)·  1 年前    · 
深沉的蚂蚁  ·  DataGrip常用快捷键 | 清澄秋爽·  1 年前    · 
link之家  ›  Nginx配置HTTPS跳转到非443端口的技巧和注意事项_nginx 非443端口配置ssl
服务器端口 https nginx 443端口
https://blog.csdn.net/GX_1_11_real/article/details/127939728
千杯不醉的骆驼
1 年前

近一段时间由于看到v*云服务厂商有活动,就注册并开了台云服务器,试一下区别。
(“充10美元送30天内有效的250美元的免费额度,意思是30天内在 你加起来 不超出250美元的 服务随便开,但是注意的是30天后这就不免费了,记得及时关闭。只支持paypal,而阿里alipay一般是充值没活动的”)

于是开始各种尝试,偶尔一次搭建服务下载镜像等文件,由于443端口并发较高,流量大,下载时间长,导致xx把443端口给封闭了,其他国外地区访问正常。(后来前面加个免费的cxxx cdn就可以解决)

正好总结一下http跳转https的各种方式,实际上是一种重复造轮子的文章,但是最起码证明到现在这个时间点它仍是这样配置

Nginx http跳转https(443端口)

rewrite强制将http的URL重写成https 

server {
    listen 80;
    server_name  aaa.bbb.com ccc.bbb.com;
    rewrite ^(.*) https://$server_name$1 permanent;
server {
    listen 443 ssl;
    server_name  aaa.bbb.com ccc.bbb.com;
    charset utf-8;
    ssl_certificate /etc/letsencrypt/live/bbb.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/bbb.com/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;      # TLSv1.3需要nginx 1.13.0以上版本
    # 如果nginx版本低,建议使用这种加密算法配置
    # ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384;
    ssl_ecdh_curve secp384r1;
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    ssl_session_tickets off;
    keepalive_timeout 70;
    access_log  /var/log/nginx/bbb.access.log;
    error_log /var/log/nginx/bbb.error.log;
    add_header Access-Control-Allow-Origin *;
    add_header Access-Control-Allow-Methods GET,POST,OPTIONS;
    add_header Access-Control-Allow-Headers Content-Type,Authorization;
    allow xx.xx.0.0/16;
    allow xx.xx.0.0/16;
    deny all; 
    root /usr/share/nginx/bbb;
    location / {
      proxy_redirect off;                   #隐藏nginx版本
      proxy_http_version 1.1;
      index  index.html;
    #.....其他

return把http的域名请求转成https
 

server {
    listen 80;
    server_name aaa.bbb.com ccc.bbb.com;
    #schema判断是https的就按照下面的方式跳转
    if ($scheme = http){
	return 301 https://$server_name$request_uri;
#server {
#    listen 80;
#    server_name aaa.bbb.com ccc.bbb.com;
#	 return 301 https://$server_name$request_uri;     
server {
    listen 443 ssl;
    server_name  aaa.bbb.com ccc.bbb.com;
    charset utf-8;
    ssl_certificate /etc/letsencrypt/live/bbb.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/bbb.com/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;      # TLSv1.3需要nginx 1.13.0以上版本
    # 如果nginx版本低,建议使用这种加密算法配置
    # ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384;
    ssl_ecdh_curve secp384r1;
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    ssl_session_tickets off;
    keepalive_timeout 70;
    access_log  /var/log/nginx/bbb.access.log;
    error_log /var/log/nginx/bbb.error.log;
    add_header Access-Control-Allow-Origin *;
    add_header Access-Control-Allow-Methods GET,POST,OPTIONS;
    add_header Access-Control-Allow-Headers Content-Type,Authorization;
    allow xx.xx.0.0/16;
    allow xx.xx.0.0/16;
    deny all; 
    root /usr/share/nginx/bbb;
    location / {
      proxy_redirect off;                   #隐藏nginx版本
      proxy_http_version 1.1;
      index  index.html;
    #.....其他

error_page 497 重新定义端口和链接
 

当nginx 配置的站点只允许https访问时,我们使用http去访问,就会报出497错误码
 我们就可以利用error_page将497状态码的链接重定向到 https
 这个也可以用来将http跳转到非443的ssl端口
 
error_page 497 https://$host:8443$request_uri;
其他配置:       
error_page 497 https://$host:$server_port$request_uri;  重定向到其他端口
error_page 497 https://$host$request_uri;                默认用302,临时重定向
error_page 497 =301 https://$host$request_uri;      永久重定向
error_page 497 =307 https://$host$request_uri;       临时重定向,不改变请求的方法(如post还是post)

server {
    listen 80;
    server_name aaa.bbb.com ccc.bbb.com;
    error_page 497  https://$host$uri?$args;
#    error_page 497  https://$host:$server_port$request_uri;
server {
    listen 443 ssl;
    server_name  aaa.bbb.com ccc.bbb.com;
    charset utf-8;
    ssl_certificate /etc/letsencrypt/live/bbb.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/bbb.com/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;      # TLSv1.3需要nginx 1.13.0以上版本
    # 如果nginx版本低,建议使用这种加密算法配置
    # ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384;
    ssl_ecdh_curve secp384r1;
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    ssl_session_tickets off;
    keepalive_timeout 70;
    access_log  /var/log/nginx/bbb.access.log;
    error_log /var/log/nginx/bbb.error.log;
    add_header Access-Control-Allow-Origin *;
    add_header Access-Control-Allow-Methods GET,POST,OPTIONS;
    add_header Access-Control-Allow-Headers Content-Type,Authorization;
    allow xx.xx.0.0/16;
    allow xx.xx.0.0/16;
    deny all; 
    root /usr/share/nginx/bbb;
    location / {
      proxy_redirect off;                   #隐藏nginx版本
      proxy_http_version 1.1;
      index  index.html;
    #.....其他

Nginx http跳转https(非443端口)
 

return 加  proxy_set_header Host $host:$server_port

$host参数不包含端口号,如果请求头部有端口就会丢失,从而使后端程序不能正确的获取端口号
 

server {
    listen 80;
    server_name aaa.bbb.com ccc.bbb.com;
    #schema判断是https的就按照下面的方式跳转
    if ($scheme = http){
	return 301 https://$server_name:8443$request_uri;
server {
    listen 8443 ssl;
    server_name  aaa.bbb.com ccc.bbb.com;
    charset utf-8;
    ssl_certificate /etc/letsencrypt/live/bbb.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/bbb.com/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;      # TLSv1.3需要nginx 1.13.0以上版本
    # 如果nginx版本低,建议使用这种加密算法配置
    # ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384;
    ssl_ecdh_curve secp384r1;
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    ssl_session_tickets off;
    keepalive_timeout 70;
    access_log  /var/log/nginx/bbb.access.log;
    error_log /var/log/nginx/bbb.error.log;
    add_header Access-Control-Allow-Origin *;
    add_header Access-Control-Allow-Methods GET,POST,OPTIONS;
    add_header Access-Control-Allow-Headers Content-Type,Authorization;
    allow xx.xx.0.0/16;
    allow xx.xx.0.0/16;
    deny all; 
    root /usr/share/nginx/bbb;
    location / {
      index  index.html;
      proxy_redirect off;                   #隐藏nginx版本
      proxy_http_version 1.1;
      proxy_set_header Upgrade $http_upgrade;
      proxy_set_header Connection "upgrade";
      proxy_set_header Host $host:$server_port;
     location /live { 
      proxy_redirect off;
      proxy_pass http://127.0.0.1:8081;
      proxy_http_version 1.1;
      proxy_set_header Upgrade $http_upgrade;
      proxy_set_header Connection "upgrade";
      proxy_set_header Host $host;
      proxy_set_header X-Real-IP $remote_addr;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    #.....其他

error_page 497 重新定义端口和链接
 

server {
    listen 80;
    server_name aaa.bbb.com ccc.bbb.com;
    error_page 497 https://$host:8443$request_uri;
server {
    listen 8443 ssl;
    server_name  aaa.bbb.com ccc.bbb.com;
    charset utf-8;
    ssl_certificate /etc/letsencrypt/live/bbb.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/bbb.com/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;      # TLSv1.3需要nginx 1.13.0以上版本
    # 如果nginx版本低,建议使用这种加密算法配置
    # ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384;
    ssl_ecdh_curve secp384r1;
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    ssl_session_tickets off;
    keepalive_timeout 70;
    access_log  /var/log/nginx/bbb.access.log;
    error_log /var/log/nginx/bbb.error.log;
    add_header Access-Control-Allow-Origin *;
    add_header Access-Control-Allow-Methods GET,POST,OPTIONS;
    add_header Access-Control-Allow-Headers Content-Type,Authorization;
    allow xx.xx.0.0/16;
    allow xx.xx.0.0/16;
    deny all; 
    root /usr/share/nginx/bbb;
    location / {
      proxy_redirect off;                   #隐藏nginx版本
      proxy_http_version 1.1;
      index  index.html;
    #.....其他

Nginx http,https多端口共存
 

这个需求常见于老服务,比如一个老项目以前是http的,后来又开发新的项目的访问域名还是这个,不过新地址需要改成https,比如加了个项目/live,这要求访问bbb.com/live是https
 并且要不影响其他用户用http访问bbb.com/one,还有不清楚另外配置的那个https的项目是否有问题,这时候就可能需要2个访问方式都要暂时存在,之后看情况再看是否配置跳转
 

简单的来说就是,
 只需要把listen 80; listen 443 ssl; 及其他要开启的端口一起放在同一个server里就可以
 

server {
    listen 80;
    listen 443 ssl;
    listen 8443 ssl;
    server_name   aaa.bbb.com ccc.bbb.com;
    charset utf-8;
    ......

一台服务器上能部署多个nginx服务吗?
 

原则上来说是可以的,nginx安装到不同的位置,并且nginx的配置文件的端口不冲突即可
 但不建议这样做,一般是人们是通过server添加多个虚拟主机,而不是启动多个nginx
 即使是搞高可用也是一台服务器一个nginx,一台服务器上搞什么高可用,如果那台服务器宕机web全挂了
 

这个问题实际上是4-5年前舍友去某相亲网站工作时,他们的开发给他提的奇怪的需求,刚好想起来就吐槽一下
 

吐槽?:
 本来一直懒得写很基础的文章,基本都在写解决某些问题类型的文章。但是看到某些书籍上也不过是基础知识的集合加少量论文上贴过来原理性质的东西。于是干脆还是随便写,没有走什么高大上的路线或者什么专一的路线,只是写想写的,直接的把某些问题解决,等写多了整理一些系列
 百分百原创的原理或理论层次的文章,很高大,但是整理语言是很费心力的,所以经常有的人直接把教材或者国外文档,直接分片贴过来,连句自己的话都没有的,标原创就很无语。通常说教材不讲人话,但是教别人或做教程,照本宣科的,有书即可要你何用

                    近一段时间由于看到云服务厂商vultr有活动,就注册并开了台国外云服务器,试一下国外云服务器厂商和国内有什么区别。(“充10美元送30天内有效的250美元的免费额度,意思是30天内在 你加起来 不超出250美元的 服务随便开,但是注意的是30天后这就不免费了,记得及时关闭。只支持paypal,而阿里alipay一般是充值没活动的”)于是开始各种尝试,偶尔一次搭建服务往国内下载镜像等文件,由于443端口并发较高,流量大,下载时间长,导致的国内把443端口给封闭了,国外其他地区访问正常。
服务器开启2020端口
iptables 开放2020端口
-A INPUT -m state–state NEW -m tcp -p tcp --dport 2020 -j ACCEPT
重启iptables
service iptablesrestart
我这里使用的是内置防火墙
开放2020
firewall-cmd --zone=public --add-p...
				
Nginx代理HTTPS443端口,Tomcat为HTTP的配置
  开始觉得这个配置需求常的简单,不就是配置一下Nginx配置就搞定了。试了之后发现,出乎意料,所以打算将自己的经验记录下来。
  简单的描述一下场景,Nginx监听端口:8443,开启SSL;Tomcat启动的监听端口:8080,是HTTP。然后需要从NginxHTTPS代理到Tomcat的HTTP,基本的请求的流程图如下...

Nginx增加以下配置
proxy_set_header Host $host:$server_port; 80端口 ,用80端口时 不需要$server_port
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
				
[转载]如何在443端口https
许多人肯定遇到过这个问题“服务器在国内,又没备案,但又想开网站,80和443又不能用,但又想开https"
今天我就给大家带来”如何在443端口https“
首先和平常配置是一样的,我这里用的宝塔
创建网站,然后申请ssl证书(这里就不讲了)
然后点击站点的设置
点击”配置文件“(是站点的配置文件,不是nignx也不是php也不是sql的
然后你可以看到...

1. 确保已经安装了 OpenSSL。如果没有安装,请根据您的操作系统进行安装。
2. 生成 SSL 证书和私钥。您可以购买证书,或者使用免费的工具(如 Certbot)生成自签名证书。证书和私钥文件通常具有 .crt 和 .key 扩展名。
3. 将 SSL 证书和私钥文件放置在 Nginx配置目录中(例如 /etc/nginx/conf.d/)。
4. 打开 Nginx配置文件(通常是 nginx.conf 或者在 /etc/nginx/conf.d/ 目录中的文件),将以下配置添加到服务器块中:
server {
    listen 443 ssl;
    server_name your_domain.com;
    ssl_certificate /etc/nginx/conf.d/your_certificate.crt;
    ssl_certificate_key /etc/nginx/conf.d/your_private_key.key;
请确保将 `your_domain.com` 替换为您的域名,并将 `/etc/nginx/conf.d/your_certificate.crt` 和 `/etc/nginx/conf.d/your_private_key.key` 替换为您的证书和私钥文件的路径。
5. 根据您的需求,添加其他 SSL 配置选项,例如 SSL 协议、密码套件等。
6. 保存并关闭配置文件。
7. 检查 Nginx 配置是否正确:`nginx -t`
8. 如果配置正确,重新加载 Nginx 配置:`nginx -s reload`
现在,您的 Nginx 应该已经配置HTTPS 的 443 端口。请注意,这只是一个基本的配置示例,您可能需要根据您的具体需求进行调整。
 
推荐文章
玉树临风的苦瓜  ·  shell wait 和sleep 对比_shell 睡眠几秒钟-CSDN博客
5 月前
踢足球的南瓜  ·  ADB调试关闭荣耀手机的系统更新(烦人的推送)_荣耀手机adb关闭系统更新-CSDN博客
6 月前
刀枪不入的斑马  ·  HTTP状态 404 - 未找到 类型 状态报告 描述 源服务器未能找到目标资源的表示或者是不愿公开一个已经存在的资源表示。 Apache Tomcat/8.5.90-CSDN博客
10 月前
冲动的跑步鞋  ·  JS获取字符串长度(length属性)
1 年前
深沉的蚂蚁  ·  DataGrip常用快捷键 | 清澄秋爽
1 年前
今天看啥   ·   Py中国   ·   codingpro   ·   小百科   ·   link之家   ·   卧龙AI搜索
删除内容请联系邮箱 2879853325@qq.com
link之家 - 链接快照平台
© 2024 ~ 沪ICP备11025650号