【微服务学工】https配置

wangbaiyuan

为确保配置成功，配置过程中请尽量保持与帖子里的配置一致；

一、设置代理服务容器的信息，将域名进行https认证，并导出相关证书（一般由学校完成，请找学校老师提供）；

      证书包括两个文件:

              一个是  .crt 文件，另 一个是 .key 文件，后续步骤需要用到这两个文件，为了方便理解和操作，可以把这两个文件名修改成 lyzhxg.crt 和 lyzhxg.key 。


二、根据不同的部署环境选择相应的方式，这里根据portainer平台部署方式编写

       1、将步骤一中的lyzhxg.crt 和 lyzhxg.key 上传到主节点服务器（域名所映射） /etc/nginx/ssl  目录，没有该目录则自行创建

       2、执行授权命令
          chmod 777 /etc/nginx/ssl/*

       3、修改nginx配置文件，  

            学工部署的nginx的配置文件目录：/opt/domainMap/conf/nginx.conf   (如果不确定，请从portainer里找到nginx服务，看该服务的stack下editor 里的 volumes 下的挂载目录)  

            
            1)  nginx里的新增 监听端口 443 ，可以直接复制原配置文件里的80端口的 server{} 里的内容，然后进行修改，原80端口里的保持不变
                 

             2)  443端口内容配置：下面server_name 配置 stu.sztu.edu.cn 改为现场的域名；

    请注意：配置过程中发现，下面的代码直接复制粘贴过去后会有问题，原因是参数项 和 配置值 之前的空格格式无法识别，需要通过清除键先清除，然后用空格键输出；

           或者下载文件从文件里复制：nginx配置文件下载 :, 证书和秘钥地址无需修改，这是容器内的地址。

1. listen 0.0.0.0:443 ssl;
   
2. server_name  stu.sztu.edu.cn;
   
3. ssl_certificate      /opt/ssl/lyzhxg.crt;
   
4. ssl_certificate_key  /opt/ssl/lyzhxg.key;
   
5. #ssl_certificate      cert.pem;
   
6. #ssl_certificate_key  cert.key;
   
7. ssl_session_cache    shared:SSL:1m;
   
8. ssl_session_timeout  5m;
   
9. ssl_ciphers  HIGH:!aNULL:!MD5;
   
10. ssl_prefer_server_ciphers  on;

复制代码

       3、在portianer里修改nginx服务的配置信息，参照下图,
            
        4、如果现场有多个nginx，同时都要配https，如果都要使用443端口，就需要将不同的域名映射到不同的服务器上，
             端口配置方式需要做如下调整，改为host模式，即只占用本服务器的端口，不占用集群里其他服务器的该端口

            
   

1.       - "/etc/nginx/ssl:/opt/ssl"

复制代码

           /etc/nginx/ssl    服务上lyzhxg.crt 和 lyzhxg.key 存放目录
            /opt/ssl             容器里的路径


以上配置好后，即可验证是否能https访问，
下面两部可根据项目地情况决定是否执行
三、单点跳转地址https变http，请参照帖子： http://portal.ly-sky.com:7160/fo ... =535&extra=page%3D1

      例如访问 https://stu.sztu.edu.cn/xgxt 后，如果有配置单点，假设认证地址 https://cas.sztu.edu.cn/lyuapServer/login ,
      会跳转到认证https://cas.sztu.edu.cn/lyuapServer/login?service=https://cas.sztu.edu.cn/xgxt ，登录后再跳转：

       正常的跳转地址：   https://cas.sztu.edu.cn/xgxt
      不正常的跳转地址：http://cas.sztu.edu.cn/xgxt， 跳转后的路径变成了http，这种情况请参照帖子：http://portal.ly-sky.com:7160/fo ... =535&extra=page%3D1

四、将http访问转为https，例如将所有的stu.sztu.edu.cn域名的http访问强制跳转到https。

下面是将所有的http请求通过rewrite重写到https上，只需监听80端口server{}里的内容配置如下，将两处域名改为项目地域名地址即可。
如果是从上面下载的配置文件，里面已经包含了80端口server{} 的配置，执行修改域名即可。

1. 
   
2. server {
   
3. listen 80;
   
4. server_name stu.sztu.edu.cn;     
   
5. rewrite ^/(.*)$ https://stu.sztu.edu.cn/$1 permanent;
   
6. }
   
7. 
   
8. 
   

复制代码

duck

第一点：设置代理服务容器的信息，将域名进行https认证，并导出相关证书   能看懂，但没说明具体怎么操作。。。