2

我需要HTTPs在我的 Spring Boot 应用程序中使用,所以我添加了Elastic Beanstalk(在 64 位 Amazon Linux/2.7.1 上运行的 Java 8)的配置文件。这是HTTPS服务器的配置:

server {
    listen       443 default ssl;
    server_name  localhost;

    ssl                  on;
    ssl_certificate      /etc/pki/tls/certs/server.crt;
    ssl_certificate_key  /etc/pki/tls/certs/server.key;

    ssl_session_timeout  5m;

    ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers   on;

    location / {
        proxy_pass  http://localhost:6080;
        proxy_set_header   Connection "";
        proxy_http_version 1.1;
        proxy_set_header        Host            $host;
        proxy_set_header        X-Real-IP       $remote_addr;
        proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header        X-Forwarded-Proto https;
    }
}

该配置似乎适用,但是当我使用HTTPs该应用程序发出请求时会引发此异常:

2018-06-17 09:40:55.245  INFO 29898 --- [nio-6080-exec-3] o.apache.coyote.http11.Http11Processor:
Error parsing HTTP request header
Note: further occurrences of HTTP header parsing errors will be logged at DEBUG level.

java.lang.IllegalArgumentException: Invalid character found in method name. HTTP method names must be tokens
    at org.apache.coyote.http11.Http11InputBuffer.parseRequestLine(Http11InputBuffer.java:426) ~[tomcat-embed-core-8.5.27.jar!/:8.5.27]
    at org.apache.coyote.http11.Http11Processor.service(Http11Processor.java:687) ~[tomcat-embed-core-8.5.27.jar!/:8.5.27]
    at org.apache.coyote.AbstractProcessorLight.process(AbstractProcessorLight.java:66) [tomcat-embed-core-8.5.27.jar!/:8.5.27]
    at org.apache.coyote.AbstractProtocol$ConnectionHandler.process(AbstractProtocol.java:790) [tomcat-embed-core-8.5.27.jar!/:8.5.27]
    at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1459) [tomcat-embed-core-8.5.27.jar!/:8.5.27]
    at org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.java:49) [tomcat-embed-core-8.5.27.jar!/:8.5.27]
    at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1149) [na:1.8.0_171]
    at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:624) [na:1.8.0_171]
    at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61) [tomcat-embed-core-8.5.27.jar!/:8.5.27]
    at java.lang.Thread.run(Thread.java:748) [na:1.8.0_171]

我想问题是服务器监听HTTPs请求,但我的应用程序需要HTTP请求,但我不太确定。我应该怎么办?

@Configuration
@EnableResourceServer
public class ResourceServer extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .anyRequest().permitAll()
                .and().csrf()
                .disable();
    }

}
4

1 回答 1

1

是的,这个问题是由于客户端的 HTTPs 请求命中而发生的。所以解决方案是

配置 Elastic Beanstalk 环境的负载均衡器以终止 HTTPS

要将 AWS Elastic Beanstalk 环境更新为使用 HTTPS,您需要为环境中的负载均衡器配置 HTTPS 侦听器。两种类型的负载均衡器支持 HTTPS 侦听器:Classic Load Balancer 和 Application Load Balancer。

您可以使用 Elastic Beanstalk 控制台或配置文件来配置安全侦听器并分配证书。

笔记

单实例环境没有负载均衡器,也不支持负载均衡器上的 HTTPS 终止。

使用 Elastic Beanstalk 控制台配置安全侦听器

s1 s2

使用配置文件配置安全侦听器

您可以使用以下配置文件之一在负载均衡器上配置安全侦听器。

示例 .ebextensions/securelistener-clb.config

当您的环境具有 Classic Load Balancer 时使用此示例。该示例使用 aws:elb:listener 命名空间中的选项在端口 443 上配置具有指定证书的 HTTPS 侦听器,并将解密的流量转发到端口 80 上的环境中的实例。

option_settings:
  aws:elb:listener:443:
    SSLCertificateId: arn:aws:acm:us-east-2:1234567890123:certificate/####################################
    ListenerProtocol: HTTPS
    InstancePort: 80

将突出显示的文本替换为您的证书的 ARN。证书可以是您在 AWS Certificate Manager (ACM)(首选)中创建或上传的证书,也可以是您使用 AWS CLI 上传到 IAM 的证书。

有关 Classic Load Balancer 配置选项的更多信息,请参阅 Classic Load Balancer 配置命名空间。

示例 .ebextensions/securelistener-alb.config

当您的环境具有 Application Load Balancer 时使用此示例。该示例使用 aws:elbv2:listener 命名空间中的选项在端口 443 上配置具有指定证书的 HTTPS 侦听器。侦听器将流量路由到默认进程。

option_settings:
  aws:elbv2:listener:443:
    Protocol: HTTPS
    SSLCertificateArns: arn:aws:acm:us-east-2:1234567890123:certificate/####################################

配置安全组

如果您将负载均衡器配置为将流量转发到端口 80 以外的实例端口,则必须向安全组添加一条规则,以允许来自负载均衡器的实例端口的入站流量。如果您在自定义 VPC 中创建环境,Elastic Beanstalk 会为您添加此规则。

您可以通过将 Resources 键添加到应用程序的 .ebextensions 目录中的配置文件来添加此规则。

以下示例配置文件向 AWSEBSecurityGroup 安全组添加了一个入口规则,该规则允许来自负载均衡器的安全组的端口 1000 上的流量。

示例 .ebextensions/sg-ingressfromlb.config

Resources:
  sslSecurityGroupIngress:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: {"Fn::GetAtt" : ["AWSEBSecurityGroup", "GroupId"]}
      IpProtocol: tcp
      ToPort: 1000
      FromPort: 1000
      SourceSecurityGroupName: {"Fn::GetAtt" : ["AWSEBLoadBalancer" , "SourceSecurityGroup.GroupName"]}

希望这会帮助你。或参考:https ://docs.aws.amazon.com/elasticbeanstalk/latest/dg/configuring-https-elb.html

于 2018-06-17T11:05:31.640 回答