局域網(wǎng)內(nèi)網(wǎng)的服務(wù)大多是以未加密的 HTTP 形式提供服務(wù)����,服務(wù)器有 IIS 、Tomcat ��、Apache等��。有一個需求要將內(nèi)網(wǎng)的 HTTP 服務(wù)映射到公網(wǎng)���,但暴露在公網(wǎng)的服務(wù)要以 HTTPS 的形式對外開放����。
換句話描述就是�����,后端還是使用原始的 HTTP 服務(wù)��,前端使用 HTTPS 處理加解密。不對后端服務(wù)器做任何改造�,通過增加一層 HTTPS 的處理層來實現(xiàn) HTTP 轉(zhuǎn) HTTPS�。
有兩種實現(xiàn)思路���,一種使用負(fù)載均衡設(shè)備實現(xiàn) HTTP 轉(zhuǎn) HTTPS�����,另一種是使用 Nginx 來實現(xiàn)��。
先說下 Nginx 方案:
實現(xiàn)原理:Nginx 接收 HTTPS 請求,處理 SSL 加密����,然后將解密后的請求轉(zhuǎn)發(fā)給后端的 HTTP 服務(wù)�。后端服務(wù)只需要繼續(xù)運(yùn)行 HTTP�,不需要處理 HTTPS。
Nginx方案:
Nginx 處理來自客戶端的 HTTPS 請求���。
Nginx 終止 SSL(SSL termination),解密請求并將請求轉(zhuǎn)發(fā)給原始的 HTTP 服務(wù)�����。
客戶端只與 Nginx 通信�����,并認(rèn)為整個通信過程是通過 HTTPS 加密的��。
后端 HTTP 服務(wù)仍然只處理 HTTP 流量,Nginx 負(fù)責(zé)解密和代理�。
Nginx 配置文件 Demo:
events { worker_connections 1024; #單個后臺worker process進(jìn)程的最大并發(fā)鏈接數(shù)}
http { server { # 監(jiān)聽 HTTPS 請求 listen 443 ssl; server_name your_domain.com;
# SSL 證書配置 # ssl_certificate /etc/nginx/ssl/your_domain.com.crt; # ssl_certificate_key /etc/nginx/ssl/your_domain.com.key; ssl_certificate D:/nginx/nginx-1.27.0/ssl/it.vip.crt; ssl_certificate_key D:/nginx/nginx-1.27.0/ssl/it.vip.key;
ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers HIGH:!aNULL:!MD5;
# 反向代理到后端 HTTP 服務(wù) location / { proxy_pass http://it.vip:19999/; # 轉(zhuǎn)發(fā)到后端 HTTP 服務(wù)器 proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } }}
本地測試的 Nginx 版本是 v1.27.0���,測試平臺是 Windows �����,HTTP 轉(zhuǎn) HTTPS 后的服務(wù)效果為:
配置文件中的證書一般由廠家提供�,或使用免費(fèi)的自簽證書,商用證書便宜的需要¥2000左右每年,網(wǎng)上免費(fèi)的有效期一般只有三個月��。
負(fù)載均衡方案
第二種方案需要花錢購買負(fù)載均衡設(shè)備�,負(fù)載均衡設(shè)備一般在17萬左右一臺,一般會使用兩臺組一個主備方案。因為各家使用的設(shè)備型號都不同,所以配置只是作為參考�。
以下配置是以 Sangfor 的負(fù)載示例:
全文完�����。
該文章在 2024/9/27 12:12:53 編輯過
400 186 1886
