局域網(wǎng)內(nèi)網(wǎng)的服務(wù)大多是以未加密的 HTTP 形式提供服務(wù),服務(wù)器有 IIS �����、Tomcat �����、Apache等�����。有一個需求要將內(nèi)網(wǎng)的 HTTP 服務(wù)映射到公網(wǎng)��,但暴露在公網(wǎng)的服務(wù)要以 HTTPS 的形式對外開放�����。
換句話描述就是,后端還是使用原始的 HTTP 服務(wù)���,前端使用 HTTPS 處理加解密。不對后端服務(wù)器做任何改造���,通過增加一層 HTTPS 的處理層來實現(xiàn) HTTP 轉(zhuǎn) HTTPS。
有兩種實現(xiàn)思路����,一種使用負載均衡設(shè)備實現(xiàn) HTTP 轉(zhuǎn) HTTPS��,另一種是使用 Nginx 來實現(xiàn)。
先說下 Nginx 方案:
實現(xiàn)原理:Nginx 接收 HTTPS 請求�����,處理 SSL 加密�,然后將解密后的請求轉(zhuǎn)發(fā)給后端的 HTTP 服務(wù)。后端服務(wù)只需要繼續(xù)運行 HTTP��,不需要處理 HTTPS。
Nginx方案:
Nginx 處理來自客戶端的 HTTPS 請求���。
Nginx 終止 SSL(SSL termination),解密請求并將請求轉(zhuǎn)發(fā)給原始的 HTTP 服務(wù)。
客戶端只與 Nginx 通信,并認為整個通信過程是通過 HTTPS 加密的�����。
后端 HTTP 服務(wù)仍然只處理 HTTP 流量�����,Nginx 負責(zé)解密和代理。
Nginx 配置文件 Demo:
events { worker_connections 1024; #單個后臺worker process進程的最大并發(fā)鏈接數(shù)}
http { server { # 監(jiān)聽 HTTPS 請求 listen 443 ssl; server_name your_domain.com;
# SSL 證書配置 # ssl_certificate /etc/nginx/ssl/your_domain.com.crt; # ssl_certificate_key /etc/nginx/ssl/your_domain.com.key; ssl_certificate D:/nginx/nginx-1.27.0/ssl/it.vip.crt; ssl_certificate_key D:/nginx/nginx-1.27.0/ssl/it.vip.key;
ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers HIGH:!aNULL:!MD5;
# 反向代理到后端 HTTP 服務(wù) location / { proxy_pass http://it.vip:19999/; # 轉(zhuǎn)發(fā)到后端 HTTP 服務(wù)器 proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } }}
本地測試的 Nginx 版本是 v1.27.0����,測試平臺是 Windows ����,HTTP 轉(zhuǎn) HTTPS 后的服務(wù)效果為:
配置文件中的證書一般由廠家提供,或使用免費的自簽證書�,商用證書便宜的需要¥2000左右每年���,網(wǎng)上免費的有效期一般只有三個月�����。
負載均衡方案
第二種方案需要花錢購買負載均衡設(shè)備���,負載均衡設(shè)備一般在17萬左右一臺���,一般會使用兩臺組一個主備方案����。因為各家使用的設(shè)備型號都不同�,所以配置只是作為參考。
以下配置是以 Sangfor 的負載示例:
全文完��。
該文章在 2024/9/27 12:12:53 編輯過
400 186 1886
