|
nginx加入如下配置
server {
listen 443 ssl;
server_name yourdomain.com; #需要将yourdomain.com替换成证书绑定的域名。
ssl_certificate /etc/nginx/cert/cert-file-name.pem; #需要将cert-file-name.pem替换成已上传的证书文件的名称。
ssl_certificate_key /etc/nginx/cert/cert-file-name.key; #需要将cert-file-name.key替换成已上传的证书私钥文件的名称。
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
#表示使用的加密套件的类型。
ssl_protocols SSLv3 SSLv2 TLSv1 TLSv1.1 TLSv1.2; #表示使用的TLS协议的类型。
ssl_prefer_server_ciphers on;
location / {
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://127.0.0.1:8080;
}
}
80端口加入配置,自动跳转到443端口
location / {
rewrite ^(.*)$ https://${server_name}$1 permanent;
}
websocket需要修改为wss,443端口下增加
location ~ /socket {
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://127.0.0.1:8080;
keepalive_timeout 30s;
proxy_connect_timeout 5m;
proxy_send_timeout 5m;
proxy_read_timeout 5m;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}
使用了shiro需要修改
shiro会将http10Compatible默认设置为true,为true时会在页面跳转时将https修改为http,因此需要将http10Compatible手动设置为false。
重写继承了AuthenticatingFilter的filter,如果filter中有方法调用了WebUtils.issueRedirect,重写该方法修改为WebUtils.issueRedirect(request, response, url, null, true,false);最后一个参数就是http10Compatible。其他参数视情况修改。
html页面修改
修改websocket连接 ws:// 为wss://,可以用js判断,使用https协议时使用wss,使用http时使用ws
页面head中加入,会自动将页面中http请求修改为https
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
|