在實際項目開發過程當中,使用 http 是不安全的,因此不少時候咱們要用到 https。https 是以安全爲目標的 http 通道,而 https 的安全基礎是 SSL。java
我在使用 SSL 的過程當中,使用了實際的證書,踩了一些坑,鑑於網上的不少教程的ssl 都是使用的 java 自帶的 keytool 命令來生成的,可是對實際證書的使用方法涉及的並很少,因此將我使用過程當中的一些步驟記錄下來,一是讓本身記住,其次但願能夠給你們在實際過程當中有一些啓發。nginx
登陸進騰訊雲,在產品中找到 SSL 證書這一項,點擊進去spring
ssl證書入口apache
點擊當即購買tomcat
我使用的域名型免費版,若是你有其餘的需求,也能夠選擇其餘的選項,點擊快速免費申請安全
填寫基本的信息,通用名稱就寫證書綁定的域名,填寫本身的郵箱,備註名能夠隨便填,私鑰密碼能夠不填寫,所屬項目選默認,進入下一步springboot
到身份驗證時,選擇手動 DNS 驗證,點擊確認。注:若你的域名和服務器已經關聯起來了,則選擇自動就行服務器
點擊查看證書詳情,進入下一個頁面session
在這一步,須要 DNS 驗證,添加解析記錄,具體的步驟在操做指引中已經詳細寫出。簡略來講就是經過解析制定的 DNS 記錄來驗證域名全部權,操做指引中使用的是騰訊云云解析平臺,首先添加您的域名,首先增長一條記錄指向你的服務器進行綁定,即那條類型爲A的記錄。其次,添加給出的 DNS 記錄。均添加成功後,須要回到證書詳情頁面,點擊自助診斷,若成功則等待系統給你頒發 SSL 證書便可。app
創建一個 Spring Boot 項目
已經完成了上一步
下載證書界面
文件目錄
把剛剛下載的文件中的 Tomcat 文件夾中的jks文件複製到 spring boot 項目中的 src/main/resources/ 目錄下,和 application.properties 平級
而且在 application.properties 中配置以下命令
server.port: 8092 server.ssl.key-store= classpath:server.jks server.ssl.key-store-password=你的密碼 server.ssl.keyStoreType = JKS
key-store: 生成的證書文件的存儲路徑,其中 server.jks 須要改成你剛剛複製進來的jks文件名
key-store-password: 指定簽名的密碼,打開下載文件中 Tomcat 文件夾中的 txt 文件,即爲此處填寫的密碼
keyStoreType:爲制定祕鑰倉庫的類型,這裏咱們須要填寫爲 JKS
打開你的遠程服務端,新建一個文件夾,而且把剛剛下載的文件中的 Nginx 文件夾中的 crt 文件和 key 文件複製到此文件夾中
輸出命令
openssl pkcs12 -export -clcerts -in yourDomain.crt -inkey myPrivateKey.key -out server.p12
yourDomain.crt 替換爲你的 crt 文件
myPrivateKey.key 替換爲你的 key 文件
在此過程當中須要讓你輸入密碼,記住這個密碼,後面會用到
執行此命令,生成了咱們須要的 p12 文件,將其複製到 spring boot 項目中的 src/main/resources/ 目錄下,和 application.properties 平級
而且在 application.properties 中配置以下命令
server.port: 8092 server.ssl.key-store: classpath:server.p12 server.ssl.key-store-password: 剛剛設置的密碼 server.ssl.keyStoreType: PKCS12 server.ssl.keyAlias:
key-store: 生成的證書文件的存儲路徑,其中 server.p12 須要改成你生成的 p12 文件的名字
key-store-password: 指定簽名的密碼,要設置成剛剛你設置的密碼
keyStoreType:爲制定祕鑰倉庫的類型,這裏咱們須要填寫爲 PKCS12
keyAlias: 爲別名
注:若是不知作別名,能夠在服務器中輸入
keytool -list -keystore server.p12
會顯示:
獲取別名界面
這個1即爲別名
至此,全部的基本步驟就完成了
能夠寫一個基本的 helloworld 來進行驗證,將項目打包運行,能夠看到已經能夠在 Spring Boot 項目中使用 https 了
配置成功界面
此段摘錄自江南一點雨的專欄
在入口類中添加相應的轉向Bean,代碼以下:
@Bean public EmbeddedServletContainerFactory servletContainer() { TomcatEmbeddedServletContainerFactory tomcat = new TomcatEmbeddedServletContainerFactory() { @Override protected void postProcessContext(Context context) { SecurityConstraint constraint = new SecurityConstraint(); constraint.setUserConstraint("CONFIDENTIAL"); SecurityCollection collection = new SecurityCollection(); collection.addPattern("/*"); constraint.addCollection(collection); context.addConstraint(constraint); } }; tomcat.addAdditionalTomcatConnectors(httpConnector()); return tomcat; } @Bean public Connector httpConnector() { Connector connector = new Connector("org.apache.coyote.http11.Http11NioProtocol"); connector.setScheme("http"); //Connector監聽的http的端口號 connector.setPort(8080); connector.setSecure(false); //監聽到http的端口號後轉向到的https的端口號 connector.setRedirectPort(8092); return connector; }
http://localhost:8080
的時候系統會自動重定向到https://localhost:8092
這個地址上。Nginx 證書部署在騰訊雲中有官方教程
教程中描述的很詳細,下面說一下我在操做過程當中踩過的一些坑
沒法將 crt 和 key 文件利用 FileZilla 軟件直接傳輸到 etc/nginx 文件中去
在利用bin/nginx –t
來測試時,會報錯nginx: [emerg] "user" directive is not allowed here in /etc/nginx/conf.d/nginx.conf:1
當配置完成後,輸入對應的地址,當出現以下界面則配置成功。
配置成功界面
server { listen 443; server_name #填寫綁定證書的域名; ssl on; ssl_certificate #填寫你的證書.crt; ssl_certificate_key #填寫你的證書.key; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照這個協議配置 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#按照這個套件配置 ssl_prefer_server_ciphers on; location / { proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Host $http_host; proxy_set_header X-NginX-Proxy true; proxy_pass http://服務器地址:端口號/;#這裏填寫你的端口號,要和在springboot項目中配置的端口號一致,如果在本機操做,則服務器地址能夠填0.0.0.0或者127.0.0.1 proxy_redirect off; } }
@RestController public class helloController { @RequestMapping("hello") public String hello(){ return "hello world!"; } }
當配置完成後,發現經過nginx的代理依然可以使用https協議,以下所示:
配置成功界面
做者:諳儬 連接:https://www.jianshu.com/p/eb52e0f5ee85 來源:簡書 著做權歸做者全部。商業轉載請聯繫做者得到受權,非商業轉載請註明出處。