在Spring Boot中配置ssl證書實現https

在實際項目開發過程當中,使用 http 是不安全的,因此不少時候咱們要用到 https。https 是以安全爲目標的 http 通道,而 https 的安全基礎是 SSL。java

我在使用 SSL 的過程當中,使用了實際的證書,踩了一些坑,鑑於網上的不少教程的ssl 都是使用的 java 自帶的 keytool 命令來生成的,可是對實際證書的使用方法涉及的並很少,因此將我使用過程當中的一些步驟記錄下來,一是讓本身記住,其次但願能夠給你們在實際過程當中有一些啓發。nginx

申請 SSL 證書

前提

  • 我申請的是騰訊雲的 SSL 證書。
  • 若是你要申請 SSL 證書,須要有一個已經備案過的域名

步驟

  1. 登陸進騰訊雲,在產品中找到 SSL 證書這一項,點擊進去spring

     

    ssl證書入口apache

  2. 點擊當即購買tomcat

  3. 我使用的域名型免費版,若是你有其餘的需求,也能夠選擇其餘的選項,點擊快速免費申請安全

  4. 填寫基本的信息,通用名稱就寫證書綁定的域名,填寫本身的郵箱,備註名能夠隨便填,私鑰密碼能夠不填寫,所屬項目選默認,進入下一步springboot

  5. 到身份驗證時,選擇手動 DNS 驗證,點擊確認。注:若你的域名和服務器已經關聯起來了,則選擇自動就行服務器

  6. 點擊查看證書詳情,進入下一個頁面session

  7. 在這一步,須要 DNS 驗證,添加解析記錄,具體的步驟在操做指引中已經詳細寫出。簡略來講就是經過解析制定的 DNS 記錄來驗證域名全部權,操做指引中使用的是騰訊云云解析平臺,首先添加您的域名,首先增長一條記錄指向你的服務器進行綁定,即那條類型爲A的記錄。其次,添加給出的 DNS 記錄。均添加成功後,須要回到證書詳情頁面,點擊自助診斷,若成功則等待系統給你頒發 SSL 證書便可。app

在 Spring Boot 項目中使用 https

前提

  • 創建一個 Spring Boot 項目

  • 已經完成了上一步

步驟

  • 在騰訊雲中的證書列表,下載頒發給你的證書

下載證書界面

  • 下載並解壓後內容以下圖

文件目錄

  • 咱們可使用 p12 和 jks 兩種格式的證書來實現使用 https 的目的,下面分別進行介紹

jks

  • 把剛剛下載的文件中的 Tomcat 文件夾中的jks文件複製到 spring boot 項目中的 src/main/resources/ 目錄下,和 application.properties 平級

  • 而且在 application.properties 中配置以下命令

server.port: 8092
server.ssl.key-store= classpath:server.jks
server.ssl.key-store-password=你的密碼
server.ssl.keyStoreType = JKS
  • key-store: 生成的證書文件的存儲路徑,其中 server.jks 須要改成你剛剛複製進來的jks文件名

  • key-store-password: 指定簽名的密碼,打開下載文件中 Tomcat 文件夾中的 txt 文件,即爲此處填寫的密碼

  • keyStoreType:爲制定祕鑰倉庫的類型,這裏咱們須要填寫爲 JKS

p12

  • 打開你的遠程服務端,新建一個文件夾,而且把剛剛下載的文件中的 Nginx 文件夾中的 crt 文件和 key 文件複製到此文件夾中

  • 輸出命令

openssl pkcs12 -export -clcerts -in yourDomain.crt -inkey myPrivateKey.key -out server.p12
  • yourDomain.crt 替換爲你的 crt 文件

  • myPrivateKey.key 替換爲你的 key 文件

  • 在此過程當中須要讓你輸入密碼,記住這個密碼,後面會用到

  • 執行此命令,生成了咱們須要的 p12 文件,將其複製到 spring boot 項目中的 src/main/resources/ 目錄下,和 application.properties 平級

  • 而且在 application.properties 中配置以下命令

server.port: 8092
server.ssl.key-store: classpath:server.p12
server.ssl.key-store-password: 剛剛設置的密碼
server.ssl.keyStoreType: PKCS12
server.ssl.keyAlias:
  • key-store: 生成的證書文件的存儲路徑,其中 server.p12 須要改成你生成的 p12 文件的名字

  • key-store-password: 指定簽名的密碼,要設置成剛剛你設置的密碼

  • keyStoreType:爲制定祕鑰倉庫的類型,這裏咱們須要填寫爲 PKCS12

  • keyAlias: 爲別名

  • 注:若是不知作別名,能夠在服務器中輸入

keytool -list -keystore server.p12

會顯示:

獲取別名界面

這個1即爲別名

驗證

  • 至此,全部的基本步驟就完成了

  • 能夠寫一個基本的 helloworld 來進行驗證,將項目打包運行,能夠看到已經能夠在 Spring Boot 項目中使用 https 了

配置成功界面

擴展:同時只用 http 並將 http 自動轉向 https

@Bean
    public EmbeddedServletContainerFactory servletContainer() {
        TomcatEmbeddedServletContainerFactory tomcat = new TomcatEmbeddedServletContainerFactory() {
            @Override
            protected void postProcessContext(Context context) {
                SecurityConstraint constraint = new SecurityConstraint();
                constraint.setUserConstraint("CONFIDENTIAL");
                SecurityCollection collection = new SecurityCollection();
                collection.addPattern("/*");
                constraint.addCollection(collection);
                context.addConstraint(constraint);
            }
        };
        tomcat.addAdditionalTomcatConnectors(httpConnector());
        return tomcat;
    }

    @Bean
    public Connector httpConnector() {
        Connector connector = new Connector("org.apache.coyote.http11.Http11NioProtocol");
        connector.setScheme("http");
        //Connector監聽的http的端口號
        connector.setPort(8080);
        connector.setSecure(false);
        //監聽到http的端口號後轉向到的https的端口號
        connector.setRedirectPort(8092);
        return connector;
    }
  • 經過這段配置,訪問http://localhost:8080的時候系統會自動重定向到https://localhost:8092這個地址上。

在 Nginx 上配置證書

  • Nginx 證書部署在騰訊雲中有官方教程

  • 教程中描述的很詳細,下面說一下我在操做過程當中踩過的一些坑

  1. 沒法將 crt 和 key 文件利用 FileZilla 軟件直接傳輸到 etc/nginx 文件中去

    • 能夠先複製到其餘文件夾中,再在服務器內部複製到 etc/nginx 中去
  2. 在利用bin/nginx –t來測試時,會報錯nginx: [emerg] "user" directive is not allowed here in /etc/nginx/conf.d/nginx.conf:1

    • 多是由於在 nginx 目錄下有不止一份 nginx 的配置文件因此產生了衝突,刪除多餘的那一份就行。

結果

當配置完成後,輸入對應的地址,當出現以下界面則配置成功。

配置成功界面

擴展:如何將springboot項目和nginx代理聯合起來

前提

  • 完成了上述的springboot項目的配置和nginx代理的配置

步驟

  1. 在剛剛配置的nginx.conf文件中添加一些配置信息,以下:
server {
        listen 443;
        server_name #填寫綁定證書的域名;
        ssl on;     
        ssl_certificate   #填寫你的證書.crt;
        ssl_certificate_key #填寫你的證書.key;
        ssl_session_timeout 5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照這個協議配置
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#按照這個套件配置
        ssl_prefer_server_ciphers on;
        location / {
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header Host $http_host;
            proxy_set_header X-NginX-Proxy true;
            proxy_pass http://服務器地址:端口號/;#這裏填寫你的端口號,要和在springboot項目中配置的端口號一致,如果在本機操做,則服務器地址能夠填0.0.0.0或者127.0.0.1
            proxy_redirect off;
        }
    }
  1. 在springboot當中實現一個簡單的helloworld程序
@RestController
public class helloController {
    @RequestMapping("hello")
    public String hello(){
        return "hello world!";
    }
}
  1. 啓動項目

結果

當配置完成後,發現經過nginx的代理依然可以使用https協議,以下所示:

 

配置成功界面

做者:諳儬 連接:https://www.jianshu.com/p/eb52e0f5ee85 來源:簡書 著做權歸做者全部。商業轉載請聯繫做者得到受權,非商業轉載請註明出處。

相關文章
相關標籤/搜索