之前在网上搜索到的很多文章在描述 Nginx + Tomcat 启用 HTTPS 支持的时候，都必须在 Nginx 和 Tomcat 两边同时配置 SSL 支持。但我一直在想为什么就不能按照下面的方式来配置呢？就是 Nginx 上启用了 HTTPS，而 Nginx 和 Tomcat 之间走的却是普通的 HTTP 连接。但是搜索很多没有解决办法，最后还是老老实实的 Nginx 和 Tomcat 同时配置的 SSL 支持。

最终配置的方案是浏览器和 Nginx 之间走的 HTTPS 通讯，而 Nginx 到 Tomcat 通过 proxy_pass 走的是普通 HTTP 连接。当时由于系统用到了websocket，一

下面是详细的配置（Nginx 端口 80/443，Tomcat 的端口 8080）：

Nginx 这一侧的配置没什么特别的：

worker_processes  16;

error_log logs/error.log;

events {

worker_connections  10240;

}

http{

include mime.types;

map $http_upgrade $connection_upgrade {

default upgrade;

''      close;

}

upstream websocket {

#ip_hash;

server 192.168.0.23:8080  weight=50;

server 192.168.0.25:8080  weight=50;

}

server {

listen      443 ssl;

ssl_certificate  /app/nginx/conf/server.crt;

ssl_certificate_key  /app/nginx/conf/server_nopwd.key;

server_name  192.168.0.23;

ssl_prefer_server_ciphers  on;

charset utf-8;

ssi on;

location ^~/asims {

proxy_pass http://websocket;

proxy_connect_timeout 60;

proxy_read_timeout 86400;

proxy_set_header Host $host;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

proxy_set_header X-NginX-Proxy true;

proxy_set_header X-Forwarded-Proto https;

proxy_http_version 1.1;

proxy_set_header Upgrade $http_upgrade;

proxy_set_header Connection "upgrade";

fastcgi_param  SCRIPT_NAME        "";

}

location ^~ /docs {

deny all;

}

location ^~ /examples {

deny all;

}

location ^~ /host-manager {

deny all;

}

location ^~ /manager {

deny all;

}

}

server {

listen      80;

server_name  192.168.0.23;

rewrite ^ https://$server_name$request_uri? permanent;

}

}

其中最为关键的就是 ssl_certificate 和 ssl_certificate_key 这两项配置，其他的按正常配置。不过多了一个 proxy_set_header X-Forwarded-Proto https; 配置。

最主要的配置来自 Tomcat，下面是我测试环境中的完整 server.xml：

<?xml version='1.0' encoding='utf-8'?>

<Server port="8005" shutdown="SHUTDOWN">

  <Service name="Catalina">

    <Connector port="8080" protocol="HTTP/1.1"

               connectionTimeout="20000"

               redirectPort="443"

               proxyPort="443"/>

    <Engine name="Catalina" defaultHost="localhost">

      <Host name="localhost"  appBase="webapps"

            unpackWARs="true" autoDeploy="true">

            <Valve className="org.apache.catalina.valves.RemoteIpValve"

                  remoteIpHeader="x-forwarded-for"

                  remoteIpProxiesHeader="x-forwarded-by"

                  protocolHeader="x-forwarded-proto"

            />

            <Context path="" docBase="/oschina/webapp" reloadable="false"/>

      </Host>

    </Engine>

  </Service>

</Server>

上述的配置中没有什么特别的，但是特别特别注意的是必须有proxyPort="443"，这是整篇文章的关键，当然 redirectPort 也必须是 443。同时节点的配置也非常重要，否则你在 Tomcat 中的应用在读取 getScheme() 方法以及在 web.xml 中配置的一些安全策略会不起作用。当然最最主要的还是org.apache.catalina.valves.RemoteIpValve配置，否则webscocket的请求投就不会正确。