java - 具有 SSL 配置的 AWS Elastic Beanstalk 单实例抛出 "HTTP method names must be tokens"

Question

我需要在我的 Spring boot 应用程序中使用 HTTPs，因此我为 Elastic Beanstalk 添加了配置文件(在 64 位 Amazon Linux/2.7.1 上运行的 Java 8)。这是 HTTPS 服务器的配置:

server {
    listen       443 default ssl;
    server_name  localhost;

    ssl                  on;
    ssl_certificate      /etc/pki/tls/certs/server.crt;
    ssl_certificate_key  /etc/pki/tls/certs/server.key;

    ssl_session_timeout  5m;

    ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers   on;

    location / {
        proxy_pass  http://localhost:6080;
        proxy_set_header   Connection "";
        proxy_http_version 1.1;
        proxy_set_header        Host            $host;
        proxy_set_header        X-Real-IP       $remote_addr;
        proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header        X-Forwarded-Proto https;
    }
}

配置似乎适用，但是当我使用 HTTPs 发出请求时，应用会抛出此异常:

2018-06-17 09:40:55.245  INFO 29898 --- [nio-6080-exec-3] o.apache.coyote.http11.Http11Processor:
Error parsing HTTP request header
Note: further occurrences of HTTP header parsing errors will be logged at DEBUG level.

java.lang.IllegalArgumentException: Invalid character found in method name. HTTP method names must be tokens
    at org.apache.coyote.http11.Http11InputBuffer.parseRequestLine(Http11InputBuffer.java:426) ~[tomcat-embed-core-8.5.27.jar!/:8.5.27]
    at org.apache.coyote.http11.Http11Processor.service(Http11Processor.java:687) ~[tomcat-embed-core-8.5.27.jar!/:8.5.27]
    at org.apache.coyote.AbstractProcessorLight.process(AbstractProcessorLight.java:66) [tomcat-embed-core-8.5.27.jar!/:8.5.27]
    at org.apache.coyote.AbstractProtocol$ConnectionHandler.process(AbstractProtocol.java:790) [tomcat-embed-core-8.5.27.jar!/:8.5.27]
    at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1459) [tomcat-embed-core-8.5.27.jar!/:8.5.27]
    at org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.java:49) [tomcat-embed-core-8.5.27.jar!/:8.5.27]
    at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1149) [na:1.8.0_171]
    at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:624) [na:1.8.0_171]
    at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61) [tomcat-embed-core-8.5.27.jar!/:8.5.27]
    at java.lang.Thread.run(Thread.java:748) [na:1.8.0_171]

我想问题是服务器监听 HTTPs 请求，但我的应用程序需要 HTTP 请求，但我不太确定。我该怎么办？

@Configuration
@EnableResourceServer
public class ResourceServer extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .anyRequest().permitAll()
                .and().csrf()
                .disable();
    }

}

Answer 1

是的，这个问题的发生是因为来自客户端的 HTTPs 请求命中。所以解决方案是

配置 Elastic Beanstalk 环境的负载均衡器以终止 HTTPS

要更新您的 AWS Elastic Beanstalk 环境以使用 HTTPS，您需要为环境中的负载均衡器配置 HTTPS 监听器。两种类型的负载均衡器支持 HTTPS 监听器:Classic Load Balancer 和 Application Load Balancer。

您可以使用 Elastic Beanstalk 控制台或配置文件来配置安全监听器并分配证书。

注意

单实例环境没有负载均衡器，也不支持在负载均衡器处终止 HTTPS。

使用 Elastic Beanstalk 控制台配置安全监听器

使用配置文件配置安全监听器

您可以使用以下配置文件之一在负载均衡器上配置安全监听器。

示例.ebextensions/securelistener-clb.config

当您的环境具有 Classic Load Balancer 时使用此示例。该示例使用 aws:elb:listener 命名空间中的选项使用指定证书在端口 443 上配置 HTTPS 监听器，并将解密的流量转发到您环境中端口 80 上的实例。

option_settings:
  aws:elb:listener:443:
    SSLCertificateId: arn:aws:acm:us-east-2:1234567890123:certificate/####################################
    ListenerProtocol: HTTPS
    InstancePort: 80

将突出显示的文本替换为证书的 ARN。该证书可以是您在 AWS Certificate Manager (ACM)(首选)中创建或上传的证书，也可以是您使用 AWS CLI 上传到 IAM 的证书。

有关 Classic Load Balancer 配置选项的更多信息，请参阅 Classic Load Balancer 配置命名空间。

示例.ebextensions/securelistener-alb.config

当您的环境具有 Application Load Balancer 时使用此示例。该示例使用 aws:elbv2:listener 命名空间中的选项使用指定的证书在端口 443 上配置 HTTPS 监听器。监听器将流量路由到默认进程。

option_settings:
  aws:elbv2:listener:443:
    Protocol: HTTPS
    SSLCertificateArns: arn:aws:acm:us-east-2:1234567890123:certificate/####################################

配置安全组

如果您将负载均衡器配置为将流量转发到端口 80 以外的实例端口，则必须向安全组添加一条规则，以允许来自负载均衡器的实例端口的入站流量。如果您在自定义 VPC 中创建环境，Elastic Beanstalk 会为您添加此规则。

您可以通过将 Resources 键添加到应用程序的 .ebextensions 目录中的配置文件来添加此规则。

以下示例配置文件将入口规则添加到 AWSEBSecurityGroup 安全组，允许来自负载均衡器安全组的端口 1000 上的流量。

示例 .ebextensions/sg-ingressfromlb.config

Resources:
  sslSecurityGroupIngress:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: {"Fn::GetAtt" : ["AWSEBSecurityGroup", "GroupId"]}
      IpProtocol: tcp
      ToPort: 1000
      FromPort: 1000
      SourceSecurityGroupName: {"Fn::GetAtt" : ["AWSEBLoadBalancer" , "SourceSecurityGroup.GroupName"]}

希望对您有所帮助。或者引用:https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/configuring-https-elb.html