局域網(wǎng)內(nèi)網(wǎng)的服務(wù)大多是以未加密的 HTTP 形式提供服務(wù)，服務(wù)器有 IIS 、Tomcat 、Apache等。有一個(gè)需求要將內(nèi)網(wǎng)的 HTTP 服務(wù)映射到公網(wǎng)，但暴露在公網(wǎng)的服務(wù)要以 HTTPS 的形式對(duì)外開(kāi)放。

換句話描述就是，后端還是使用原始的 HTTP 服務(wù)，前端使用 HTTPS 處理加解密。不對(duì)后端服務(wù)器做任何改造，通過(guò)增加一層 HTTPS 的處理層來(lái)實(shí)現(xiàn) HTTP 轉(zhuǎn) HTTPS。

有兩種實(shí)現(xiàn)思路，一種使用負(fù)載均衡設(shè)備實(shí)現(xiàn) HTTP 轉(zhuǎn) HTTPS，另一種是使用 Nginx 來(lái)實(shí)現(xiàn)。

先說(shuō)下 Nginx 方案：

實(shí)現(xiàn)原理：Nginx 接收 HTTPS 請(qǐng)求，處理 SSL 加密，然后將解密后的請(qǐng)求轉(zhuǎn)發(fā)給后端的 HTTP 服務(wù)。后端服務(wù)只需要繼續(xù)運(yùn)行 HTTP，不需要處理 HTTPS。

Nginx方案：

• Nginx 處理來(lái)自客戶端的 HTTPS 請(qǐng)求。

• Nginx 終止 SSL（SSL termination），解密請(qǐng)求并將請(qǐng)求轉(zhuǎn)發(fā)給原始的 HTTP 服務(wù)。

• 客戶端只與 Nginx 通信，并認(rèn)為整個(gè)通信過(guò)程是通過(guò) HTTPS 加密的。

• 后端 HTTP 服務(wù)仍然只處理 HTTP 流量，Nginx 負(fù)責(zé)解密和代理。

Nginx 配置文件 Demo:

events {  worker_connections 1024; #單個(gè)后臺(tái)worker process進(jìn)程的最大并發(fā)鏈接數(shù)}
http {  server {    # 監(jiān)聽(tīng) HTTPS 請(qǐng)求    listen 443 ssl;    server_name your_domain.com;
    # SSL 證書配置    # ssl_certificate /etc/nginx/ssl/your_domain.com.crt;    # ssl_certificate_key /etc/nginx/ssl/your_domain.com.key;    ssl_certificate D:/nginx/nginx-1.27.0/ssl/it.vip.crt;    ssl_certificate_key D:/nginx/nginx-1.27.0/ssl/it.vip.key;

    ssl_protocols TLSv1.2 TLSv1.3;    ssl_ciphers HIGH:!aNULL:!MD5;
    # 反向代理到后端 HTTP 服務(wù)    location / {      proxy_pass http://it.vip:19999/; # 轉(zhuǎn)發(fā)到后端 HTTP 服務(wù)器      proxy_set_header Host $host;      proxy_set_header X-Real-IP $remote_addr;      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;      proxy_set_header X-Forwarded-Proto $scheme;    }  }}

本地測(cè)試的 Nginx 版本是 v1.27.0，測(cè)試平臺(tái)是 Windows ，HTTP 轉(zhuǎn) HTTPS 后的服務(wù)效果為：

配置文件中的證書一般由廠家提供，或使用免費(fèi)的自簽證書，商用證書便宜的需要￥2000左右每年，網(wǎng)上免費(fèi)的有效期一般只有三個(gè)月。

負(fù)載均衡方案

第二種方案需要花錢購(gòu)買負(fù)載均衡設(shè)備，負(fù)載均衡設(shè)備一般在17萬(wàn)左右一臺(tái)，一般會(huì)使用兩臺(tái)組一個(gè)主備方案。因?yàn)楦骷沂褂玫脑O(shè)備型號(hào)都不同，所以配置只是作為參考。

以下配置是以 Sangfor 的負(fù)載示例：

全文完。