致远OA配置HTTPS访问避坑帖 - 教程

前言：

        作者公司从致远OA的7.1到8.0再到现在最新的9.1都在用，由于需要迁云到集团的所谓的云端去加强安全，费用基本上就是普通的阿里云费用的3倍，这个还只是资源费用的对比，还说配套的安全费用。真的是坑死内部单位的人。 需要配置HTTPS走ssl访问，原本以为是件很简单的事情，申请了域名证书，只要把证书文件添加进去就可以，但发现事情想简单了。

问题点：

        我这里直接说结论，致远的OA是没有地方给你去配置服务器的证书，需要你自己去通过建立反向代理，然后在你反向代理的工具，如Apache或者nginx上去做配置才可以的。这个只能怪我自己没有仔细去看对应的文档，一直在配置工具去找配置菜单。

致远OA实现加密访问的逻辑图：        

默认HTTP访问场景：
      http://xx.xx.xx.xx/seeyon
[客户端] - - - - - - - - - → [协同OA]
使用HTTPS访问场景：
        https://xxx.com/seeyon       http://xx.xx.xx.xx/seeyon
[客户端] - - - - - - - - - → [Nginx+SSL] - - - - - - - - - → [协同OA]

        就是要通过nginx来做反向代理，在nginx中来进行ssl证书额配置。只需要在Nginx侧配置管理HTTPS即可，协同OA侧（含OA依赖的中间件）都无需做任何配置调整。包括东方通、金蝶、宝兰德等等信创中间件，使用HTTPS的模式依然不变：依然基于Nginx管理HTTPS，在信创中间件侧不做任何调整（保持默认HTTP）：

[客户端] --- HTTPS --→ [Nginx+SSL] --- HTTP --→ [东方通中间件|协同OA]
[客户端] --- HTTPS --→ [Nginx+SSL] --- HTTP --→ [金蝶中间件|协同OA]
[客户端] --- HTTPS --→ [Nginx+SSL] --- HTTP --→ [宝兰德中间件|协同OA]
[客户端] --- HTTPS --→ [Nginx+SSL] --- HTTP --→ [默认Tomcat|协同OA]

准备事项

  1. 提前部署Nginx：

        这里有个大坑，以前做过反向代理，想着很简单，不就是nginx里面配置一下，proxy_pass之类的参数就可以，于是找了个linux服务器装了个宝塔，然后用他最新的nginx版本，配置了反向代理，而且一切都OK，可以打开代理后的站点，能够正常访问，各链接都正常。原本以为事情到此为止，就是成功，哪知道打开流程一直转圈圈，后面看文档才知道，要使用sticky模块。

        Nginx的Sticky模块是一种基于Cookie的负载均衡解决方案，能够确保来自同一客户端的请求始终路由到同一台后端服务器，从而实现会话保持。

        Sticky模块的工作原理：

1. 客户端首次发起访问请求，nginx接收后，发现请求头没有cookie，则以轮询方式将请求分发给后端服务器。
2. 后端服务器处理完请求，将响应数据返回给nginx。
3. 此时nginx生成带route的cookie，返回给客户端。route的值与后端服务器对应，可能是明文，也可能是md5、sha1等Hash值。
4. 客户端接收请求，并保存带route的cookie。
5. 当客户端下一次发送请求时，会带上route，nginx根据接收到的cookie中的route值，转发给对应的后端服务器。

        如何编译安装sticky模块本篇文章不做详解，后续将会有文章专门来说如何编译安装。

2. 提前准备HTTP的证书

        申请SSL证书的渠道很多了，不过价格差异也很大，这个就看读者的实力了，作者是在阿里云上购买的，买了的通配符域名的证书，这种证书好处就是可以适配所有的二级域名，比如oa给的域名是oa.xxx.com ,又要给另外一个域名erp.xxx.com 配置证书的话，通配符证书是都可以用，而不用再去单独为erp.xxx.com去申请证书了。

3. Nginx配置HTTPS

        在取得适合Nginx的HTTPS证书后，将相关证书放置到Nginx的conf/ssl目录下（比如pem、key文件放在conf/ssl下，文件名以实际为准）

然后，参考如下方式修改nginx.conf，实现HTTPS管理：

以nginx安装在/home/nginx下为例，nginx的配置文件为/home/nginx/conf/nginx.conf。配置文件内容示例如下（其中upstream的名称及服务地址依据实际情况进行修改）：

worker_processes auto;
worker_rlimit_nofile 20960;
error_log  logs/error.log  error;
events {
    worker_connections  4096;
    multi_accept on;
    accept_mutex on;
    accept_mutex_delay 500ms;
}
http {
        server_tokens off;
        sendfile on;
        tcp_nopush on;
        tcp_nodelay on;
        access_log off;
        include       mime.types;
        default_type  application/octet-stream;
        keepalive_timeout  300;
        client_max_body_size 10240M;
        gzip on;
        gzip_min_length 1k;
        gzip_buffers 4 16k;
        gzip_comp_level 3;
        gzip_types text/xml text/plain text/css text/javascript application/x-javascript application/javascript application/xml;
        gzip_disable "MSIE [1-6]\.";
        upstream seeyon_v5_cluster{
			# 默认安装的Nginx无sticky模块无法启动，必须参考手册基于Linux或信创进行Nginx+sticky编译才能启动
            sticky;
            server 192.168.0.1:80 max_fails=300 fail_timeout=30s;
            server 192.168.0.2:80 max_fails=300 fail_timeout=30s;
        }
        server {
            listen 443 ssl;
            ssl_certificate ssl/www.seeyon.com.pem;
            ssl_certificate_key ssl/www.seeyon.com.key;
			# TLS协议按需调整
            ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
            charset utf-8;
            location / {
                proxy_pass http://seeyon_v5_cluster;
                proxy_set_header Host $http_host;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header REMOTE-HOST $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header X-Forwarded-Proto $scheme;
                proxy_redirect http:// $scheme://;
                #proxy_redirect  off;
                proxy_connect_timeout 300;
                proxy_read_timeout 300;
                proxy_send_timeout 300;
            }
            error_page   500 502 503 504  /50x.html;
            location = /50x.html {
                root   html;
            }
        }
}

  4.  OA侧https调整

        新版本是不需要再做额外的操作了，7.x和8.x需要在系统配置中勾选https

5.  重启ngnix

以nginx安装在/home/nginx下为例，nginx的启动脚本为/home/nginx/sbin/nginx。启动示例如下：

# 切换命令行到nginx启动脚本目录
cd /home/nginx/sbin
# 启动
./nginx
# 重启
./nginx –s reload
# 指定配置文件重启，一般用于nginx异常停止后的启动
./nginx –c /home/nginx/conf/nginx.conf

6.  将所有的http访问重定向到https

编辑nginx.conf配置

在http段落中增加server段，并新增http协议的端口，做rewrite跳转

    ......
    server {
        listen 80;
        server_name  localhost;
        charset utf-8;
        location / {
            rewrite ^(.*)$ https://$host$1 permanent;
        }
    }
    ......

        到此配置是完成了，另外官方还有些性能调优的参数设置可以结合实际业务情况来做参考设置。

参数调优：

        参数优化需依据nginx的运行情况，及服务器负载情况进行调整。常见的优化参数有以下内容：

• worker_processes：nginx的进程数，一般为cpu的倍数，可以为1倍。

• worker_rlimit_nofile：nginx的进程打开文件数，可以与ulimit --u的值一致。

• worker_connections：每个进程允许的最多连接数。

• keepalive_timeout：客户端超时时间，单位秒。

• client_max_body_size：客户端连接的最大请求实体，影响协同系统的上传附件大小，建议设置大于或等于运行附件上传的最大值。

• access_log：请求日志，建议无需调试时关闭（off）。

总结：

        核心的问题就是nginx需要手工编译sticky模块才能正常使用，动手前一定要看官方文档，不要想当然的操作，会浪费很多时间以及精力。