使用 Nginx 为内网 Java 服务实现 HTTPS

Knight_AL2026-01-08 10:09

文章目录

  • 一、背景说明
  • 二、整体架构
  • 三、前置条件
  • [四、生成支持 IP 的自签名证书(关键步骤)](#四、生成支持 IP 的自签名证书(关键步骤))
  • [五、Java 服务配置(无需 HTTPS)](#五、Java 服务配置(无需 HTTPS))
  • [六、Nginx HTTPS 反向代理配置](#六、Nginx HTTPS 反向代理配置)
  • 七、访问测试
  • [八、(可选)HTTP 自动跳转 HTTPS](#八、(可选)HTTP 自动跳转 HTTPS)
  • [九、为什么推荐用 Nginx 实现 HTTPS?](#九、为什么推荐用 Nginx 实现 HTTPS?)
  • 十、结语

一、背景说明

在内网环境中,我们经常会遇到这样的情况:

  • Java 服务已经运行在内网

    text 复制代码 
    http://192.168.0.122:8999

  • 希望支持 HTTPS 访问

  • 不想改 Java 代码

  • 不想在 Java 里配置 SSL、证书、Keystore

最佳实践就是:使用 Nginx 终止 HTTPS,由 Nginx 负责证书和加密通信。

二、整体架构

本文采用的架构如下:

复制代码 
浏览器
   ↓ HTTPS
Nginx(SSL)
   ↓ HTTP
Java 服务
  • Java:只提供 HTTP
  • Nginx:负责 HTTPS + 反向代理

最终访问地址:

text 复制代码 
https://192.168.0.122:8999

三、前置条件

  • Linux 服务器(Ubuntu / CentOS 均可)
  • 已安装 Nginx
  • Java 服务可通过 HTTP 访问
  • 仅内网使用(使用自签名证书)

四、生成支持 IP 的自签名证书(关键步骤)

⚠️ 注意:
浏览器强制要求证书必须包含 SAN(Subject Alternative Name)

否则会被直接拒绝访问。

1️⃣ 创建证书目录

bash 复制代码 
mkdir -p /etc/nginx/ssl
cd /etc/nginx/ssl

2️⃣ 生成证书和私钥

bash 复制代码 
openssl req -x509 -nodes -days 365 \
  -newkey rsa:2048 \
  -keyout server.key \
  -out server.crt \
  -subj "/CN=192.168.0.122" \
  -addext "subjectAltName = IP:192.168.0.122"

生成文件说明:

  • server.key:私钥
  • server.crt:证书

五、Java 服务配置(无需 HTTPS)

Java 服务保持 HTTP 即可,例如:

text 复制代码 
http://127.0.0.1:8998

推荐只监听 127.0.0.1,避免被外部直接访问

六、Nginx HTTPS 反向代理配置

nginx.confconf.d/https.conf 中新增配置:

nginx 复制代码 
server {
    listen 8100 ssl;
    server_name 192.168.0.122;

    ssl_certificate     /etc/nginx/ssl/server.crt;
    ssl_certificate_key /etc/nginx/ssl/server.key;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;

    location / {
        proxy_pass http://127.0.0.1:8999;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto https;
    }
}

重载 Nginx 配置

bash 复制代码 
nginx -t
nginx -s reload

七、访问测试

浏览器访问:

text 复制代码 
https://192.168.0.122:8100

关于"不安全提示"

  • 这是 自签名证书的正常现象

  • 内网环境可接受

  • 可选择:

    • 浏览器 → 高级 → 继续访问
    • 或将 server.crt 导入系统信任证书

八、(可选)HTTP 自动跳转 HTTPS

如果你仍保留 HTTP 访问入口:

nginx 复制代码 
server {
    listen 8100;
    server_name 192.168.0.122;
    return 301 https://$host:8999$request_uri;
}

九、为什么推荐用 Nginx 实现 HTTPS?

对比项 Java 直配 HTTPS Nginx HTTPS
配置复杂度 ✅ 低
证书管理 麻烦 ✅ 集中管理
性能 一般 ✅ 更优
证书热更新 需重启 ✅ reload
后续上公网 困难 ✅ 直接支持

十、结语

通过 Nginx + 自签名证书,我们可以:

  • 不改 Java 代码
  • 快速为内网服务加 HTTPS
  • 符合生产级架构设计
  • 为将来接入公网或 Let's Encrypt 打好基础

👉 Nginx 终止 HTTPS,是最推荐的做法。

相关推荐
pyniu12 分钟前
Spring Boot车辆管理系统实战开发
java·spring boot·后端
虾说羊13 分钟前
ssm项目本地部署
java·tomcat
资生算法程序员_畅想家_剑魔13 分钟前
Kotlin常见技术分享-01-相对于Java 的核心优势-空安全
java·安全·kotlin
gelald20 分钟前
AQS 解析:从原理到实战
java·后端
2301_7806698620 分钟前
集合框架(Collection单列集合(常用功能,三种遍历方式及通过并发修改异常认识他们的区别)、Map双列集合)
java
进阶小白猿21 分钟前
Java技术八股学习Day14
java·数据库·学习
super_lzb22 分钟前
mybatis拦截器ResultSetHandler详解
java·spring·mybatis·springboot
代码or搬砖26 分钟前
JVM垃圾回收器
java·jvm·算法
客卿12328 分钟前
C语言刷题--合并有序数组
java·c语言·算法
热门推荐
01GitHub 镜像站点02安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)03Linux下V2Ray安装配置指南04Labelme从安装到标注:零基础完整指南05手把手教你通过Gemini3 pro 学生认证,白用一年,手慢无!06【踩坑笔记】50系显卡适配的 PyTorch 安装07jdk21下载、安装(Windows、Linux、macOS)08GitLab 零基础入门指南:从安装到项目管理全流程09Opencode CLI 安装成功,但是启动失败10UV安装并设置国内源