在Spring Boot中配置ssl證書實現https

在實際項目開發過程當中，使用 http 是不安全的，因此不少時候咱們要用到 https。https 是以安全爲目標的 http 通道，而 https 的安全基礎是 SSL。

我在使用 SSL 的過程當中，使用了實際的證書，踩了一些坑，鑑於網上的不少教程的ssl 都是使用的 java 自帶的 keytool 命令來生成的，可是對實際證書的使用方法涉及的並很少，因此將我使用過程當中的一些步驟記錄下來，一是讓本身記住，其次但願能夠給你們在實際過程當中有一些啓發。

申請 SSL 證書

前提

• 我申請的是騰訊雲的 SSL 證書。
• 若是你要申請 SSL 證書，須要有一個已經備案過的域名

步驟

1. 登陸進騰訊雲，在產品中找到 SSL 證書這一項，點擊進去

    

   ssl證書入口

2. 點擊當即購買

3. 我使用的域名型免費版，若是你有其餘的需求，也能夠選擇其餘的選項，點擊快速免費申請

4. 填寫基本的信息，通用名稱就寫證書綁定的域名，填寫本身的郵箱，備註名能夠隨便填，私鑰密碼能夠不填寫，所屬項目選默認，進入下一步

5. 到身份驗證時，選擇手動 DNS 驗證，點擊確認。注：若你的域名和服務器已經關聯起來了，則選擇自動就行

6. 點擊查看證書詳情，進入下一個頁面

7. 在這一步，須要 DNS 驗證，添加解析記錄，具體的步驟在操做指引中已經詳細寫出。簡略來講就是經過解析制定的 DNS 記錄來驗證域名全部權，操做指引中使用的是騰訊云云解析平臺，首先添加您的域名，首先增長一條記錄指向你的服務器進行綁定，即那條類型爲A的記錄。其次，添加給出的 DNS 記錄。均添加成功後，須要回到證書詳情頁面，點擊自助診斷，若成功則等待系統給你頒發 SSL 證書便可。

在 Spring Boot 項目中使用 https

前提

• 創建一個 Spring Boot 項目

• 已經完成了上一步

步驟

• 在騰訊雲中的證書列表，下載頒發給你的證書

下載證書界面

• 下載並解壓後內容以下圖

文件目錄

• 咱們可使用 p12 和 jks 兩種格式的證書來實現使用 https 的目的，下面分別進行介紹

jks

• 把剛剛下載的文件中的 Tomcat 文件夾中的jks文件複製到 spring boot 項目中的 src/main/resources/ 目錄下，和 application.properties 平級

• 而且在 application.properties 中配置以下命令

server.port: 8092
server.ssl.key-store= classpath:server.jks
server.ssl.key-store-password=你的密碼
server.ssl.keyStoreType = JKS

• key-store: 生成的證書文件的存儲路徑,其中 server.jks 須要改成你剛剛複製進來的jks文件名

• key-store-password: 指定簽名的密碼，打開下載文件中 Tomcat 文件夾中的 txt 文件，即爲此處填寫的密碼

• keyStoreType:爲制定祕鑰倉庫的類型，這裏咱們須要填寫爲 JKS

p12

• 打開你的遠程服務端，新建一個文件夾，而且把剛剛下載的文件中的 Nginx 文件夾中的 crt 文件和 key 文件複製到此文件夾中

• 輸出命令

openssl pkcs12 -export -clcerts -in yourDomain.crt -inkey myPrivateKey.key -out server.p12

• yourDomain.crt 替換爲你的 crt 文件

• myPrivateKey.key 替換爲你的 key 文件

• 在此過程當中須要讓你輸入密碼，記住這個密碼，後面會用到

• 執行此命令，生成了咱們須要的 p12 文件，將其複製到 spring boot 項目中的 src/main/resources/ 目錄下，和 application.properties 平級

• 而且在 application.properties 中配置以下命令

server.port: 8092
server.ssl.key-store: classpath:server.p12
server.ssl.key-store-password: 剛剛設置的密碼
server.ssl.keyStoreType: PKCS12
server.ssl.keyAlias:

• key-store: 生成的證書文件的存儲路徑,其中 server.p12 須要改成你生成的 p12 文件的名字

• key-store-password: 指定簽名的密碼，要設置成剛剛你設置的密碼

• keyStoreType:爲制定祕鑰倉庫的類型，這裏咱們須要填寫爲 PKCS12

• keyAlias: 爲別名

• 注：若是不知作別名，能夠在服務器中輸入

keytool -list -keystore server.p12

會顯示：

獲取別名界面

這個1即爲別名

驗證

• 至此，全部的基本步驟就完成了

• 能夠寫一個基本的 helloworld 來進行驗證，將項目打包運行，能夠看到已經能夠在 Spring Boot 項目中使用 https 了

配置成功界面

擴展：同時只用 http 並將 http 自動轉向 https

• 此段摘錄自江南一點雨的專欄

• 在入口類中添加相應的轉向Bean，代碼以下：

@Bean
    public EmbeddedServletContainerFactory servletContainer() {
        TomcatEmbeddedServletContainerFactory tomcat = new TomcatEmbeddedServletContainerFactory() {
            @Override
            protected void postProcessContext(Context context) {
                SecurityConstraint constraint = new SecurityConstraint();
                constraint.setUserConstraint("CONFIDENTIAL");
                SecurityCollection collection = new SecurityCollection();
                collection.addPattern("/*");
                constraint.addCollection(collection);
                context.addConstraint(constraint);
            }
        };
        tomcat.addAdditionalTomcatConnectors(httpConnector());
        return tomcat;
    }

    @Bean
    public Connector httpConnector() {
        Connector connector = new Connector("org.apache.coyote.http11.Http11NioProtocol");
        connector.setScheme("http");
        //Connector監聽的http的端口號
        connector.setPort(8080);
        connector.setSecure(false);
        //監聽到http的端口號後轉向到的https的端口號
        connector.setRedirectPort(8092);
        return connector;
    }

• 經過這段配置，訪問http://localhost:8080的時候系統會自動重定向到https://localhost:8092這個地址上。

在 Nginx 上配置證書

• Nginx 證書部署在騰訊雲中有官方教程

• 教程中描述的很詳細，下面說一下我在操做過程當中踩過的一些坑

1. 沒法將 crt 和 key 文件利用 FileZilla 軟件直接傳輸到 etc/nginx 文件中去

   • 能夠先複製到其餘文件夾中，再在服務器內部複製到 etc/nginx 中去

2. 在利用bin/nginx –t來測試時，會報錯nginx: [emerg] "user" directive is not allowed here in /etc/nginx/conf.d/nginx.conf:1

   • 多是由於在 nginx 目錄下有不止一份 nginx 的配置文件因此產生了衝突，刪除多餘的那一份就行。

   ​

結果

當配置完成後，輸入對應的地址，當出現以下界面則配置成功。

配置成功界面

擴展：如何將springboot項目和nginx代理聯合起來

前提

• 完成了上述的springboot項目的配置和nginx代理的配置

步驟

1. 在剛剛配置的nginx.conf文件中添加一些配置信息，以下：

server {
        listen 443;
        server_name #填寫綁定證書的域名;
        ssl on;     
        ssl_certificate   #填寫你的證書.crt;
        ssl_certificate_key #填寫你的證書.key;
        ssl_session_timeout 5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照這個協議配置
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#按照這個套件配置
        ssl_prefer_server_ciphers on;
        location / {
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header Host $http_host;
            proxy_set_header X-NginX-Proxy true;
            proxy_pass http://服務器地址:端口號/;#這裏填寫你的端口號，要和在springboot項目中配置的端口號一致,如果在本機操做，則服務器地址能夠填0.0.0.0或者127.0.0.1
            proxy_redirect off;
        }
    }

1. 在springboot當中實現一個簡單的helloworld程序

@RestController
public class helloController {
    @RequestMapping("hello")
    public String hello(){
        return "hello world！";
    }
}

1. 啓動項目

結果

當配置完成後，發現經過nginx的代理依然可以使用https協議，以下所示：

 

配置成功界面

做者：諳儬 連接：https://www.jianshu.com/p/eb52e0f5ee85 來源：簡書 著做權歸做者全部。商業轉載請聯繫做者得到受權，非商業轉載請註明出處。