问题背景

项目架构为前后端分离的微服务架构：

• 前端部署在 8000 端口
• API 网关部署在 9000 端口
• 后端服务包括：
  • api-backend (9001端口)
  • api-interface (9002端口)

初始状态：

• 前端已配置 HTTPS（端口 8000）
• 后端服务未配置 HTTPS
• 通过 Nginx 进行反向代理

遇到的问题

1. 第一阶段：400 Bad Request

This combination of host and port requires TLS

原因：前端使用 HTTPS，但后端服务未正确配置 SSL 证书。由于前端首先请求是到达api-gateway 网关层。借助Spring Cloud Gateway 进行请求转发。虽然给API gateway分配了https，但是它转发的另外两个模块的端口没有分配HTTPS导致请求转发错误。

2. 第二阶段：403 错误

Failed to resolve 'api-backend' after 4 queries

原因：网关路由配置使用服务名而非具体地址，导致服务发现失败。

项目配置文件

解决方案

1. SSL 证书配置

为所有服务配置 SSL：

1. API Gateway (9000端口):

• application.yml 配置

server:port: 9000address: 0.0.0.0ssl:enabled: truekey-store: /www/server/nginx/ssl/<服务器ip>/keystore.p12key-store-password: 1234key-store-type: PKCS12http2:enabled: true
spring:cloud:gateway:routes:- id: api-backenduri: https://<服务器ip>:9001predicates: - Path=/api/backend/**filters:- StripPrefix=0- AddRequestHeader=X-Forwarded-Proto,https- id: api-interfaceuri: https://<服务器ip>:9002predicates: - Path=/api/interface/**filters:- StripPrefix=0- AddRequestHeader=X-Forwarded-Proto,httpsssl:key-store: /www/server/nginx/ssl/<服务器ip>/keystore.p12key-store-password: 1234key-store-type: PKCS12logging:level:org:springframework:cloud:gateway: DEBUGdubbo:application:name: api-gateway-dubboqosEnable: falseenable-file-cache: falseprotocol:name: dubboport: -1# 注意这里ssl也需要配置ssl:enabled: true

• application-prod.yml

spring:cloud:nacos:server-addr: 192.168.15.233:8848secure: true   # 添加这行，启用安全连接config:file-extension: yaml

• bootstrap.yml

spring:cloud:nacos:server-addr: 192.168.15.233:8848secure: true   # 添加这行，启用安全连接config:file-extension: yamlapplication:name: api-interface

2. API-backend （9001端口）

• application.yml配置

server:port: 9001address: 0.0.0.0ssl:enabled: truekey-store: /www/server/nginx/ssl/<服务器ip>/keystore.p12key-store-password: 1234key-store-type: PKCS12http2:enabled: trueservlet:context-path: /api/backendsession:cookie:max-age: 7dsecure: truespring:mvc:pathmatch:matching-strategy: ant_path_matcherservlet:multipart:max-file-size: 10MBmax-request-size: 100MBsession:store-type: redistimeout: 7dknife4j:enable: truebasic:enable: trueusername: rootpassword: xxx
dubbo:application:name: api-backend-dubboqosEnable: falseenable-file-cache: falseprotocol:name: dubboport: -1registry:address: nacos://192.168.15.233:8848ssl:enabled: true # 注意这里true

• application-prod.yml

# 客户端SDK 配置
api:client:gateway-host: https://<服务器ip>:9000

• bootstrap.yml

spring:application:name: api-backendprofiles:active: prodcloud:nacos:server-addr: 192.168.15.233:8848secure: true   # 添加这行，启用安全连接config:file-extension: yaml

3. API- interface

• application.yml

server:port: 9002address: 0.0.0.0ssl:enabled: truekey-store: /www/server/nginx/ssl/<服务器ip>/keystore.p12key-store-password: 1234key-store-type: PKCS12http2:enabled: trueservlet:context-path: /api/interface
#-------------------------------------------------
spring:mvc:pathmatch:matching-strategy: ant_path_matcher
dubbo:ssl:enabled: true     

• application-prod.yml

spring:cloud:nacos:server-addr: 192.168.15.233:8848secure: true   # 添加这行，启用安全连接config:file-extension: yaml

• bootstrap.yml

spring:cloud:nacos:server-addr: 192.168.15.233:8848secure: true   # 添加这行，启用安全连接config:file-extension: yamlapplication:name: api-interface

2. Nginx 配置

更新 Nginx 配置以支持 HTTPS 代理：

location /api {rewrite ^/api/(.*) /$1 break;proxy_pass https://<服务器ip>:9000/api;proxy_ssl_verify off;proxy_ssl_server_name on;proxy_set_header X-Forwarded-Proto $scheme;proxy_set_header Host $http_host;proxy_set_header X-Real-IP $remote_addr;
}

关键配置点说明

1. SSL 证书配置

   • 所有服务统一使用相同的 SSL 证书
   • 启用 HTTP2 以提升性能
   • 确保证书文件权限正确

2. 网关路由

   • 使用具体的服务地址而不是服务名
   • 添加必要的请求头
   • 保持 SSL 配置一致性

3. 服务间通信

   • Dubbo 服务启用 SSL
   • 确保所有通信链路使用 HTTPS

最佳实践建议

1. 证书管理

   • 使用统一的证书存储位置
   • 确保证书文件权限正确
   • 定期更新证书

2. 配置管理

   • 使用配置中心统一管理
   • 环境隔离（开发/生产）
   • 密码等敏感信息加密存储

3. 安全增强

   • 启用 HTTP2
   • 配置安全的 SSL 协议和密码套件
   • 启用 HSTS 策略