Estoy ejecutando Tomcat detrás de NGINX SSL, ¿qué configuración para usar? -- ginx campo con tomcat8 camp Gestión del servidor Relacionados El problema

I am running Tomcat behind NGINX SSL - Which setting to use?


0
vote

problema

Español

Estoy ejecutando Tomcat detrás de NGINX SSL, ¿Alguien puede decirme cuál es la mejor configuración para Tomcat Server.xml?

debo agregar las propiedades:

            < secure="true"            proxyName="localhost"            proxyPort="443"            scheme="https" >   

a mi conector en Tomcat O

          <Valve className="org.apache.catalina.valves.RemoteIpValve"                internalProxies="127.0.[0-1].1"                remoteIpHeader="x-forwarded-for"                requestAttributesEnabled="true"                protocolHeader="x-forwarded-proto"                protocolHeaderHttpsValue="https" />   

A MI ABCDEFGHIJKLMNABCDEFGHIJKLMN3

¿Qué configuración es mejor?

Original en ingles

I am running Tomcat behind NGINX SSL, Can anyone tell me what is the best setting for tomcat server.xml ?

Should I add the properties :

          < secure="true"            proxyName="localhost"            proxyPort="443"            scheme="https" > 

to my connector in Tomcat OR

        <Valve className="org.apache.catalina.valves.RemoteIpValve"                internalProxies="127.0.[0-1].1"                remoteIpHeader="x-forwarded-for"                requestAttributesEnabled="true"                protocolHeader="x-forwarded-proto"                protocolHeaderHttpsValue="https" /> 

to my <engine>

Which setting is better ?

     

Lista de respuestas

0
 
vote

Si se debe decir que a un SBAPP en Tomcat simplemente se le indique que los clientes no son accesibles a través de los valores utilizados por el servidor proxy para establecer una conexión al Tomcat, e. gramo. Localhost: 8080, pero a través del nombre de host: 443, luego el primer ejemplo (con el nombre de host SSL correcto) es suficiente [1].

En este caso, el TOMCAT no sabe qué cliente realmente solicita, el registro de acceso solo contendrá la IP "Cliente" del servidor proxy. Si esto no es suficiente para la solución de problemas o la autorización con RemoteadDrvalve [2], esta es una razón para usar también la segunda configuración.

Tenga en cuenta que los encabezados también deben enviarse en consecuencia por el proxy inverso [3].

Entonces, cada una de las configuraciones tiene como objetivo algo diferente.

  • [1] https: //tomcat.apache. org / tomcat-8.5-doc / config / http.html # proxy_support
  • [2] https: //tomcat.apache. org / tomcat-8.5-doc / config / valve.html # remote_address_valve
  • [3] https://vkuzel.com/configuration-of-a-nginx-reverse-proxy-in-front-of-a-spring-boot-2- 1-Aplicación protegida-por-oauth-2-0
 

If a webapp in Tomcat should simply be told that it is not accessible by the clients via the values used by the proxy server to establish a connection to the Tomcat, e. g. LOCALHOST:8080, but via HOSTNAME:443, then the first example (with the correct SSL hostname) is sufficient [1].

In this case the Tomcat does not know which client is actually requesting, the access log will only contain the "client" IP of the proxy server. If this is not sufficient for troubleshooting or authorization with RemoteAddrValve [2], this is a reason to also use the second configuration.

Please note that the headers must also be forwarded accordingly by the reverse proxy [3].

So each of the settings aims at something different.

  • [1] https://tomcat.apache.org/tomcat-8.5-doc/config/http.html#Proxy_Support
  • [2] https://tomcat.apache.org/tomcat-8.5-doc/config/valve.html#Remote_Address_Valve
  • [3] https://vkuzel.com/configuration-of-a-nginx-reverse-proxy-in-front-of-a-spring-boot-2-1-application-protected-by-oauth-2-0
 
 

Relacionados problema

1  Nginx + SSL + RAILS + JUGNERNAUT (NODE.JS) + ENGANYYARD  ( Nginx ssl rails juggernaut node js engineyard ) 
Tengo dos aplicaciones diferentes en el mismo servidor. Uno de ellos se está ejecutando en el puerto 80 (MyDomain.com), otro en el puerto 443 (sub.mydomain.co...

19  nginx Agregue el encabezado Condicional en una variable upstream_http_  ( Nginx add header conditional on an upstream http variable ) 
Tengo un proxy inverso en Nginx que proxtima a unos pocos sitios. Recientemente he permitido la seguridad de TRANSPORTE HTTP estricta para todos los sitios we...

0  NGINX Simple REDIRECT OLD URI A NEW URI  ( Nginx simple redirect old uri to new uri ) 
Tengo problemas con la simple redirección amigable con SEO. La página web ha cambiado y me gustaría redirigir a los uris viejos a los nuevos. Por ejemplo, me ...

1  Múltiples dominios Nombre en un servidor con nginx  ( Multiple domains name on one server with nginx ) 
Estoy luchando para configurar dos dominios diferentes Nombre en mi servidor dedicado ... Ya he configurado un DN como este en el VHOST DOMING_1.NET.CONF: ...

0  ¿Qué tipo de certificado SSL necesito para varios subdominios de múltiples dominios alojados en un proxy inverso?  ( What kind of ssl cert do i need for multiple subdomains of multiple domains host ) 
Tengo un proxy inverso de Nginx que tiene varios submarinos de dominios de mutliple. Hay alguna manipulación de contenido que ocurre en mi servidor, de ahí la...

1  no se puede cambiar el nombre del archivo de registro de error nginx  ( Cannot change nginx error log file name ) 
¿Hay alguna manera de cambiar el nombre del archivo de registro de errores? Lo que sea que esté haciendo, siempre recibo los registros de errores escritos en ...

0  Force Habilitar TLSV1 NGINX  ( Force enable tlsv1 nginx ) 
Para compatibilidad con versiones anteriores con algunos de nuestros socios, tenemos que ejecutar TLSV1 en algunos de nuestros sitios web. El problema es que ...

13  ¿Cómo configuro NGINX para devolver el código HTTP 429 cuando se limita la velocidad?  ( How do i configure nginx to return 429 http code when rate limiting ) 
¿Cómo configuro Nginx para devolver el código de estado HTTP 429 (demasiadas solicitudes) en lugar de los 503 predeterminados (servicio no disponible) cuando ...

3  ¿Por qué el contenido parcial no se sirve en NGINX (MP4)?  ( Why is partial content not being served in nginx mp4 ) 
Estoy ejecutando nginx v.1.9.3 aquí para servir a mi sitio y también los archivos de video para transmitir. Estoy viendo que los archivos MP4 siempre se sirve...

0  NGINX, WEBLOGIC y REVERSIONE PROXY por ruta  ( Nginx weblogic and reverse proxy by path ) 
Tengo problemas para que mi proxy inverso funcione cuando se usa una ruta en Nginx. Lo que estoy tratando de hacer es tener una dirección para una aplicación ...

0  Configuración correcta PF con interfaces de bucleback para NGINX Proxy  ( Correctly setup pf with loopback interfaces for nginx proxy ) 
Estoy tratando de ejecutar pareja de cárceles FreeBSD para mi servidor web y servidor de aplicaciones, que está ejecutando nodos.js Tengo una tarjeta de red...

2  Cómo redirigir todo el tráfico HTTP a HTTPS para una aplicación DJANGO 1.4 que se ejecuta en un EC2 con NGINX / UWSGI detrás de ELB con un certificado SSL  ( How to redirect all http traffic to https for a django 1 4 application running o ) 
Me gustaría saber cómo poner mi sitio completo de Django detrás de HTTPS. Si alguien intenta venir a través de HTTP, quiero que el usuario sea redirigido a HT...

0  PHP en nginx se bloquea después de unos minutos  ( Php on nginx crashes after some minutes ) 
Estoy teniendo un dispositivo incrustado con una OpenWrt Linux en ejecución. He instalado y configurado los pakages php5-fastcgi y abcdefhijklmnabcdefghijk...

0  Analizando la latencia para una sola solicitud  ( Analysing latency for a single request ) 
Tengo la siguiente red (muy simplificada): (ingress) -> DMZ (nginx) -> HA Proxy -> Reverse proxy (nginx) -> Application Server (tomcat) Todas las capas...

0  Kubernetes / Nginx: cómo identificar una solicitud HTTP procedente de otro servicio dentro del clúster  ( Kubernetes nginx how to identify an http request coming from another service ) 
Tengo kubernets que se ejecutan en Google Cloud, y tengo un servicio conectado a una vaina con un servidor de NODEJS, y otro servicio conectado a una vaina co...




© 2021 respuesta.top Reservados todos los derechos. Centro de preguntas y respuestas reservados todos los derechos