为nginx和tomcat安装购买ssl证书

Question

我们的web应用程序有以下设置：

Nginx (静态内容) -> Tomcat (API托管在这里)

我们在一个公共云中托管这两个服务器，可能是在不同的物理服务器上。

我们想让我们的网站https，所以购买了我们的域名SSL证书，以保护任何进入Nginx。

现在我的问题是，如何保护从Nginx到Tomcat的请求？为了确保连接的安全，我是否需要购买单独的SSL证书？如果是的话，tomcat上的API没有域名，那么我应该买什么呢？我觉得我不应该用IP地址买..。那么什么是正确的方法呢？谢谢。

Answer 1

你有很多选择：

1. 使用http获取Nginx和Tomcat之间的连接。这在目前是非常普遍的(虽然怀疑随着https成为规范而变得不那么常见)，如果Tomcat不能从Internet上公开访问，也是相当安全的(尽管理论上，任何内部员工都可以嗅到这种http通信量，具体取决于您的网络的设置方式)。如果tomcat在同一台服务器上，那么更安全，因为网络流量不应该离开服务器，因此至少在理论上不应该被嗅探。尽管通常情况下，您希望在公共可用的服务器上尽可能少使用(例如，理想情况下只有Nginx )，但是最好的做法是不要在同一台服务器上托管tomcat。
2. 使用Tomcat的自签名SSL证书，而不是“真正的”CA提供的证书，并配置Nginx来接受它(如果默认情况下它还没有--通常don服务器不检查代理连接的SSL配置)。
3. 购买通配符证书(例如*.example.com)，这样您也可以将其用于Tomcat服务器(例如tomcat.example.com)，而不必将该服务器公开给互联网。请注意，这些更贵。
4. 通过为Tomcat服务器添加DNS条目并通过该条目进行验证(通过临时打开Internet或通过DNS或类似的方式进行身份验证)，为Tomcat服务器获取一个真正的证书。我不认为这是实话。

注意:您不能购买带有IP地址的证书。这是受限制的，因为你没有IP地址，你拥有一个域名。而且，大多数内部IP地址不是真正的IP地址，而是NATed地址，这些IP地址也用于其内部网络上的其他公司，因此肯定希望能够获得这些地址的证书！