現在公司項目都是前后端分離的方式開發,有些時候由于某些新需求開發或者 bug 修改,想要讓前端直接連到我本地開發環境進行調試,而前端代碼我并沒有,只能通過前端部署的測試環境進行測試,最簡單的辦法就是直接改 host 把后端測試環境的域名指向我本地的 IP,這對于 HTTP 協議的服務來說是很輕易做到的,不過公司的測試環境全部上了 HTTPS,而我本地的服務是 HTTP 協議這樣就算是改了 host 也會由于協議不同導致請求失敗,所以需要將本地的服務升級成 HTTPS 才行。
方案
其實 springboot 本身就支持 HTTPS( howto-configure-ssl ),但是這需要改項目代碼不太優雅,于是就想直接用 Nginx 反向代理到本地服務,這樣在 nginx 層面做 HTTPS 就不需要改代碼了,只需修改 host 將 后端測試環境域名 指向 nginx 服務的 IP 即可,而且可以適用于其它的 HTTP 服務開發調試。
簽發證書
首先要生成一套證書用于 nginx 的 ssl 配置,直接使用 openssl 工具生成一套 根證書 和對應的 服務證書 。
- 根證書生成
# 生成一個RSA私鑰openssl genrsa -out root.key 2048# 通過私鑰生成一個根證書openssl req -sha256 -new -x509 -days 365 -key root.key -out root.crt -subj "/C=CN/ST=GD/L=SZ/O=lee/OU=work/CN=fakerRoot"
- 服務器證書生成
# 生成一個RSA私鑰openssl genrsa -out server.key 2048# 生成一個帶SAN擴展的證書簽名請求文件openssl req -new -sha256 -key server.key -subj "/C=CN/ST=GD/L=SZ/O=lee/OU=work/CN=xxx.com" -reqexts SAN -config <(cat /etc/pki/tls/openssl.cnf <(printf "[SAN]nsubjectAltName=DNS:*.xxx.com,DNS:*.test.xxx.com")) -out server.csr# 使用之前生成的根證書做簽發openssl ca -in server.csr -md sha256 -keyfile root.key -cert root.crt -extensions SAN -config <(cat /etc/pki/tls/openssl.cnf <(printf "[SAN]nsubjectAltName=DNS:xxx.com,DNS:*.test.xxx.com")) -out server.crt
這樣就得到了三個關鍵文件:
root.crtserver.keyserver.crt
注:生成的服務器證書域名要支持測試環境訪問的域名,否則瀏覽器會提示證書不安全。
nginx 配置
為了方便,直接使用 Docker 啟動了一個 nginx 容器進行訪問,并將證書和配置文件掛載到對應的目錄:
- nginx.conf
server { listen 443 ssl; server_name _; ssl_certificate "/usr/local/nginx/ssl/server.pem"; ssl_certificate_key "/usr/local/nginx/ssl/server.key"; location / { proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header Host $http_host; proxy_set_header X-NginX-Proxy true; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_pass http://127.0.0.1:3000; proxy_redirect off; proxy_http_version 1.1; }}
通過配置 ssl_certificate 和 ssl_certificate_key 來指定服務器的證書和私鑰, proxy_pass 指定開發環境的訪問地址。
- 啟動
docker run -d --name https -p 443:443 -v ~/forword/ssl:/usr/local/nginx/ssl -v ~/forword/config/nginx.conf:/etc/nginx/conf.d/default.conf nginx
將 nginx 配置和證書相關文件掛載至對于的目錄,并暴露 443 端口,這樣服務啟動后即可通過 https 訪問到本地開發環境了。
安裝根證書
由于服務證書是自己簽發的,并不會被瀏覽器所信任,所以需要將 根證書 安裝至操作系統中。
- 打開 chrome 瀏覽器->設置->高級->管理證書
- 受信任的根證書頒發機構->導入
- 選擇之前生成的根證書 root.crt 導入即可
修改 host
在需要調試時,只需要將本地服務啟動,再將 host 中將要測試的域名解析到 nginx 服務器的 IP,即可將前端請求轉發到開發環境上,通過瀏覽器地址欄的 小鎖圖標 可以看到證書,已驗證服務已經部署成功。
后記
本文中其實已經提到了兩種解決方案了,其實還有其它的解決方案,例如使用 fidder 這種中間人攻擊的方式來實現,這里就不做多敘了。
