阿里云slb和ucloud负载均衡ulb添加ssl证书将http服务https化的配置详解

阿里云和ucloud服务器配置ssl证书将http服务https化的配置详解

项目背景：

苹果App于2017年1月1日将启用App Transport Security安全功能，即强制App通过HTTPS连接网络服务，各公司猜测按照苹果的一贯作风可能会强制要求开发厂商实施http向https化，否则可能不会让app上架，于是就有了服务由http向https转化的需求。

公司的主要业务跑在公有云环境，部分使用了负载均衡器类似lvs的产品slb、ulb等，lvs后面部署了服务器集群，有部分服务是通过http来接入的，所以需要将这部分服务改造为https，之前因为有部分业务已经在用http，所以要做到http和Https兼容，即能通过http也能通过https访问

方案：

在ulb或slb这类负载均衡上使用ssl证书，https通过ulb或者slb加密后转发给服务端处理，这种方式是最节省成本的处理方法，服务端不需要做改造，需要在客户端做适配即可

对于使用了lvs负载均衡的服务直接将证书放在lvs即ulb和slb上即可，对于单台云服务器的机器需要单独处理。

主要的两种业务访问方式：

如果ios或android端是通过ip的方式直接连接http服务的需要将ip更改为域名，ssl证书只颁发给域名(国内一般都有备案，在浏览器访问的时候会给出更加好的ui体验)

app_ios客户端 --> app_server


app_ios客户端 --> lvs --> app_servers

具体步骤：

1.申请ssl证书

为了以后管理方便此处我们直接通过阿里云申请的，大家也可以直接去相关的ssl证书颁发官网申请

此处我们申请的是类似*.chinasoft.com这种通配符域名的ssl证书

关于证书的说明：

需要注意一点的是a.chinasoft.com和b.a.chinasoft.com这两种方式的通配符域名不同，需要改造或者申请两次

具体参考：https://help.aliyun.com/knowledge_detail/48020.html?spm=5176.7842212.2.1.rJpNNc

此处我们选择了GeoTrust DV SSL: 价格便宜, 支持泛域名, 颁发迅速(30 min之内), 最重要的是统一使用了阿里云进行管理

有钱的朋友建议使用更加专业的ssl证书，比如ov等

2.支付完订单后，需要填写证书的详细信息并且提交审核才能完成证书申请流程

点击进度，上面有提示需要将厂商验证的html文件上传到chinasoft.com这个域名指向服务器的web根目录下，并且能访问，一般1个小时就可以收到官方的ssl验证(阿里云就比较慢，一般需要1天左右才能同步过来)

3.将证书传到具体的负载均衡产品或服务器中

①有负载均衡的方式：即 ios --> slb --> app_servers 的方式

aliyun:

将证书拷贝到slb的地域中

在具体的slb负载均衡中添加https端口的转换

uloud：

在需要添加的ulb中添加https的端口转换

验证是否ok：将dns需要https化的域名指向刚才添加的slb上，可以通过360浏览器访问验证(如果是可信机构颁发的证书会显示绿色的加锁标志)

②单服务器的配置方法: 即 ios --> app_server 的方式

nginx的配置示例：

将.pem公钥和.key私钥上传到/etc/nginx/sslkey/目录下，并修改配置文件

vim /etc/nginx/conf.d/chinasoft.confserver {        listen 80;        server_name  chinasoft.com www.chinasoft.com;listen 443 ssl; # ssl写在443端口后面，这样http和https的链接都可以用        access_log  /data/logs/www.chinasoft.com-acceess.log;        error_log  /data/logs/www.chinasoft.com-error.log;        location / {            root   /var/www/www.chinasoft.com/;            index  index.php index.html index.htm;        }ssl_certificate   /etc/nginx/sslkey/chinasoft.pem;ssl_certificate_key  /etc/nginx/sslkey/chinasoft.key;error_page 404 = /404/;        error_page   500 502 503 504  /50x.html;        location = /50x.html {            root   /usr/share/nginx/html;        }       # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000        location ~ \.php$ {            fastcgi_pass   127.0.0.1:9000;            fastcgi_index  index.php;            fastcgi_param  SCRIPT_FILENAME  /var/www/chinasoft.com/$fastcgi_script_name;            include        fastcgi_params;        }        location ~ /\.ht {            deny  all;        }}

tomcat的配置示例：

将chinasoft.pfx证书上传到/data/tomcat/sslkey/目录中


/conf/server.xml配置示例：

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"               keystoreFile="/data/tomcat/sslkey/chinasoft.pfx"               keystoreType="pfx-password.txt中的密码"               keystorePass="pass"               clientAuth="false" sslProtocol="TLS" />

说明文档：
安装证书
Tomcat支持JKS格式证书，从Tomcat7开始也支持PFX格式证书，两种证书格式任选其一。下载包中包含PFX格式证书和密码文件。

PFX证书安装

找到安装 Tomcat 目录下该文件server.xml,一般默认路径都是在 conf 文件夹中。找到 <Connection port="8443" 标签，增加如下属性：
keystoreFile="/你的磁盘目录/订单号.pfx"
keystoreType="PKCS12"
keystorePass="证书密码"
完整的配置如下，其中port属性根据实际情况修改：

<Connector port="8443" protocol="HTTP/1.1"    maxThreads="150" SSLEnabled="true" scheme="https" secure="true"    keystoreFile="/你的磁盘目录/订单号.pfx"    keystoreType="PKCS12"    keystorePass="证书密码"    sslEnabledProtocols="TLSv1"    clientAuth="false" sslProtocol="TLS" />

JKS证书安装


( 1 ) 使用java jdk将PFX格式证书转换为JKS格式证书(windows环境注意在%JAVA_HOME%/jdk/bin目录下执行)


keytool -importkeystore -srckeystore 订单号.pfx -destkeystore your-name.jks -srcstoretype PKCS12 -deststoretype JKS
回车后输入一次PFX证书密码，然后输入两次要设置的JKS证书密码，并牢记此证书密码。


( 2 ) 找到安装 Tomcat 目录下该文件Server.xml,一般默认路径都是在 conf 文件夹中。找到 <Connection port="8443" 标签，增加如下属性：


keystoreFile="/你的磁盘目录/your-name.jks"
keystorePass="证书解压密码"
完整的配置如下，其中port属性根据实际情况修改：


<Connector port="8443" protocol="HTTP/1.1"
    maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
    keystoreFile="/你的磁盘目录/your-name.jks"
    keystorePass="证书解压密码"
    clientAuth="false" sslProtocol="TLS" />


自此，关于证书的申请和在云服务器集群和单机中的应用已告一段落，后面就需要在客户端程序中进行适配性改造了，服务端一般不需要做任何改动