使用 Nginx 为内网 Java 服务实现 HTTPS

Knight_AL2026-01-08 10:09

文章目录

  • 一、背景说明
  • 二、整体架构
  • 三、前置条件
  • [四、生成支持 IP 的自签名证书(关键步骤)](#四、生成支持 IP 的自签名证书(关键步骤))
  • [五、Java 服务配置(无需 HTTPS)](#五、Java 服务配置(无需 HTTPS))
  • [六、Nginx HTTPS 反向代理配置](#六、Nginx HTTPS 反向代理配置)
  • 七、访问测试
  • [八、(可选)HTTP 自动跳转 HTTPS](#八、(可选)HTTP 自动跳转 HTTPS)
  • [九、为什么推荐用 Nginx 实现 HTTPS?](#九、为什么推荐用 Nginx 实现 HTTPS?)
  • 十、结语

一、背景说明

在内网环境中,我们经常会遇到这样的情况:

  • Java 服务已经运行在内网

    text 复制代码 
    http://192.168.0.122:8999

  • 希望支持 HTTPS 访问

  • 不想改 Java 代码

  • 不想在 Java 里配置 SSL、证书、Keystore

最佳实践就是:使用 Nginx 终止 HTTPS,由 Nginx 负责证书和加密通信。

二、整体架构

本文采用的架构如下:

复制代码 
浏览器
   ↓ HTTPS
Nginx(SSL)
   ↓ HTTP
Java 服务
  • Java:只提供 HTTP
  • Nginx:负责 HTTPS + 反向代理

最终访问地址:

text 复制代码 
https://192.168.0.122:8999

三、前置条件

  • Linux 服务器(Ubuntu / CentOS 均可)
  • 已安装 Nginx
  • Java 服务可通过 HTTP 访问
  • 仅内网使用(使用自签名证书)

四、生成支持 IP 的自签名证书(关键步骤)

⚠️ 注意:
浏览器强制要求证书必须包含 SAN(Subject Alternative Name)

否则会被直接拒绝访问。

1️⃣ 创建证书目录

bash 复制代码 
mkdir -p /etc/nginx/ssl
cd /etc/nginx/ssl

2️⃣ 生成证书和私钥

bash 复制代码 
openssl req -x509 -nodes -days 365 \
  -newkey rsa:2048 \
  -keyout server.key \
  -out server.crt \
  -subj "/CN=192.168.0.122" \
  -addext "subjectAltName = IP:192.168.0.122"

生成文件说明:

  • server.key:私钥
  • server.crt:证书

五、Java 服务配置(无需 HTTPS)

Java 服务保持 HTTP 即可,例如:

text 复制代码 
http://127.0.0.1:8998

推荐只监听 127.0.0.1,避免被外部直接访问

六、Nginx HTTPS 反向代理配置

nginx.confconf.d/https.conf 中新增配置:

nginx 复制代码 
server {
    listen 8100 ssl;
    server_name 192.168.0.122;

    ssl_certificate     /etc/nginx/ssl/server.crt;
    ssl_certificate_key /etc/nginx/ssl/server.key;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;

    location / {
        proxy_pass http://127.0.0.1:8999;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto https;
    }
}

重载 Nginx 配置

bash 复制代码 
nginx -t
nginx -s reload

七、访问测试

浏览器访问:

text 复制代码 
https://192.168.0.122:8100

关于"不安全提示"

  • 这是 自签名证书的正常现象

  • 内网环境可接受

  • 可选择:

    • 浏览器 → 高级 → 继续访问
    • 或将 server.crt 导入系统信任证书

八、(可选)HTTP 自动跳转 HTTPS

如果你仍保留 HTTP 访问入口:

nginx 复制代码 
server {
    listen 8100;
    server_name 192.168.0.122;
    return 301 https://$host:8999$request_uri;
}

九、为什么推荐用 Nginx 实现 HTTPS?

对比项 Java 直配 HTTPS Nginx HTTPS
配置复杂度 ✅ 低
证书管理 麻烦 ✅ 集中管理
性能 一般 ✅ 更优
证书热更新 需重启 ✅ reload
后续上公网 困难 ✅ 直接支持

十、结语

通过 Nginx + 自签名证书,我们可以:

  • 不改 Java 代码
  • 快速为内网服务加 HTTPS
  • 符合生产级架构设计
  • 为将来接入公网或 Let's Encrypt 打好基础

👉 Nginx 终止 HTTPS,是最推荐的做法。

相关推荐
开发者小天1 天前
python中For Loop的用法
java·服务器·python
flushmeteor1 天前
JDK源码-基础类-String
java·开发语言
毕设源码-钟学长1 天前
【开题答辩全过程】以 基于ssm的空中停车场管理系统为例,包含答辩的问题和答案
java
绾樘1 天前
RHCE--基于Nginx的Web服务器配置
运维·服务器·nginx
不愿是过客1 天前
java实战干货——长方法深递归
java
小北方城市网1 天前
Redis 分布式锁高可用实现:从原理到生产级落地
java·前端·javascript·spring boot·redis·分布式·wpf
六义义1 天前
java基础十二
java·数据结构·算法
一叶星殇1 天前
.NET WebAPI:用 Nginx 还是 IIS 更好
运维·nginx·.net
毕设源码-钟学长1 天前
【开题答辩全过程】以 基于SpringBoot的智能书城推荐系统的设计与实现为例,包含答辩的问题和答案
java·spring boot·后端
笨手笨脚の1 天前
深入理解 Java 虚拟机-03 垃圾收集
java·jvm·垃圾回收·标记清除·标记复制·标记整理
热门推荐
01GitHub 镜像站点02OpenCode 入门教程:介绍 · 安装 · 配置第三方 API (如 Claude)03Clawdbot 中文汉化版 接入微信、飞书04【网络安全测试】Burp Suite工具使用说明、配置及常见问题(有关必回)05Claude Code Skills 实用使用手册06在Trae中使用Pencil MCP07一种新的LCA算法08零门槛部署本地 AI 助手:Clawdbot/Meltbot 部署深度保姆级教程09struts2 XML外部实体注入漏洞复现(CVE-2025-68493)10UV安装并设置国内源