我有一个域sub.example.com,它在Ubuntu服务器上配置并完全运行。我使用Certbot用HTTPS配置域,但我也配置了可以在该域的特定端口(比如2500(上访问的API。当我访问example.com时,我看到锁表明站点是安全的,但是每当我转到example.com:2500/api/someAPI时,API都会返回适当的结果,但站点不安全。因为主站点是安全的,而API访问位置不是,所以我无法相应地进行API调用,导致net::ERR_SSL_PROTOCOL_ERROR。
堆栈:
- VPS:亚马逊EC2
- SSL证书提供商:让我们加密(通过Certbot(
- 服务器:Node.js(Express(
- WebApp:React
- Web服务器:nginx
不久前,我在另一个VPS(DigitalOcean(和域上使用了完全相同的技术,但我相信我从未遇到过这个问题。
nginx.conf:
user www-data;
worker_processes 4;
pid /run/nginx.pid;
events {
worker_connections 768;
# multi_accept on;
}
http {
##
# Basic Settings
##
sendfile off;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
types_hash_max_size 2048;
# server_tokens off;
# server_names_hash_bucket_size 64;
# server_name_in_redirect off;
include /etc/nginx/mime.types;
default_type application/octet-stream;
##
##
# Logging Settings
##
access_log /var/log/nginx/access.log;
error_log /var/log/nginx/error.log;
##
# Gzip Settings
##
gzip on;
gzip_disable "msie6";
# gzip_vary on;
# gzip_proxied any;
# gzip_comp_level 6;
# gzip_buffers 16 8k;
# gzip_http_version 1.1;
# gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript;
##
# nginx-naxsi config
# nginx-naxsi config
##
# Uncomment it if you installed nginx-naxsi
##
#include /etc/nginx/naxsi_core.rules;
##
# nginx-passenger config
##
# Uncomment it if you installed nginx-passenger
##
#passenger_root /usr;
#passenger_ruby /usr/bin/ruby;
##
# Virtual Host Configs
##
include /etc/nginx/conf.d/*.conf;
include /etc/nginx/sites-enabled/*;
}
我能够解决我的问题。事实证明,它与nginx配置无关。相反,在定义和公开API的node.js文件中,我需要包含HTTPS访问权限。为了做到这一点,我在代码中添加了以下几行:
const https = require('https');
const httpsOptions = {
cert: fs.readFileSync("/etc/letsencrypt/live/<domain>/fullchain.pem"),
key: fs.readFileSync("/etc/letsencrypt/live/<domain>/privkey.pem")
}
https.createServer(httpsOptions, app).listen(port);
其中<domain>替换为API托管的域名。
默认情况下,除了端口443之外,没有其他端口使用安全连接。但是,如果指定要执行此操作(例如使用https://example.com:2500)它应该连接安全。如果您希望它自动执行此操作,则需要在web服务器应用程序设置中对其进行配置。如果您知道使用什么应用程序来托管服务器(例如apache(,并且您有权编辑配置文件,那么您应该能够对此进行配置。
编辑:对不起,我最初没有看到你用nginx标记这个问题。在使用nginx之前,我没有专门做过这件事,但我找到了解释这个过程的教程。在/etc/nginx/sites-available/example.com中,您应该能够将"listen 443 ssl;"更改为"listen 4432500 ssl;",以便在多个端口上侦听。此外,您还可以添加return 301 https://$host$request_uri;,以便将连接重定向到https安全连接(请参阅https://serversforhackers.com/c/redirect-http-to-https-nginx)。
我希望这能有所帮助!