背景

由于項目需求，安全起見，需要將之前的http接口訪問變成https訪問，所以需要配置SSL證書。項目的架構是這樣的：

基本架構是硬負載（ReadWhere）+ 軟負載（Nginx）+ Tomcat集群，現在的問題是SSl證書要配置在哪里，直接配置在硬負載上？還是分別配置在Nginx和Tomcat上？還是其他的配置方法呢？

首先在硬負載上配置放棄了，然后通過在網上查找資料，發現可以只在Nginx上配置證書，就是說Nginx接入使用Https，而Nginx與Tomcat之間使用Http進行銜接，這樣就游了一個整體思路。

關于SSL證書

關于SSL證書這里簡單進行介紹，也是因為項目需要，進行了簡單的了解。

SSL證書分為大致分為三種，域名級（DV）、企業級（OV）、增強級（EV），安全性以及價格依次增加。根據自己的需求進行選擇，個人使用可以使用DV，便宜；企業用的話一般使用OV，特殊情況下使用EV。下面是幾家云服務商的OV SSL證書的價格對比，Symantec和GeoTrust被選用的比較多，都屬于賽門鐵克旗下。

SSL證書配置

由于Nginx對于SSL證書配置的支持才使得這種實現方式成為了可能，不得不感嘆Nginx的強大。

證書準備

Nginx配置需要.pem/.crt證書 + .key秘鑰，如果您現在擁有的是其他形式的證書，請按照相關說明轉化成要求的證書類型，否則是不能完成證書的配置的。一般購買商家都會有相應的轉換工具。

準備好了之后，將證書和秘鑰放到Nginx的conf目錄下（也就是跟配置文件nginx.conf在同一個目錄），這里特別需要注意：

如果是在linux系統下配置，這就算準備好了； 如果是在windows系統下，需要將.key秘鑰文件中的密碼去除，否則就會導致配置之后Nginx啟動不起來，這里是一個坑，本人就卡在了這里，具體處理方法也很簡單，在網上下載openssl的windows版本，然后將cmd切換到bin目錄下，執行openssl rsa -in server.key -out server2.key，生成的server2.key就是配置需要的秘鑰文件，但是需要將文件名改成server.key。