SpringBoot配置Https访问的详细步骤
作者:好汉不吃草
一、Https协议
- HTTP(Hypertext transfer protocal)是一种详细规定了浏览器和万维网服务器之间相互通信的规则,通过因特网传送万维网文档的数据传送协议。
- HTTPS(Hypertext transfer protocal over Secure Socket Layer)是以安全为目标的http通道,https的安全基础是ssl,因此加密的详细内容就需要ssl。https协议需要到ca申请证书(一般免费的证书很少)。
- http是超文本传输协议,信息是明文传输的(http协议是不安全的,黑客可以在用户和服务器之间设置拦截器窃取传输的内容。也可以伪造用户提交的表单向服务器发出请求,从而获取到服务器的响应)。https则是具有安全性的ssl加密传输协议,http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
超文本传输安全协议(Https,也被称作HTTP over TLS, HTTP over SSL或者HTTP Secure)是一种网络安全的传输协议,SSL(Secure Socket Layer,安全套接字层),TLS(Transport Layer Security,传输层安全协议),HTTPS开发的主要目的,是提供对网络服务器的认证,保证交换信息的机密性和完整性。
SSL是位于可靠的面向连接的网络层协议和应用层协议之间的一种协议。SSL通过相互认证、使用数字签名保证完整性、使用加密确私密性,以实现客户端和服务器之间的安全通讯。该协议由两层组成:SSL加密协议和SSL握手协议。SSL的核心概念:加密算法,数字证书,CA。
TLS用于确保两个通用程序之间提供保密性和数据完整性。该协议由两层组成:TLS记录协议和TLS握手协议(TLS是传输层加密协议,它的前身是SSL协议,如果没有特殊要求,可以简单理解为TLS和SSL都属于同一协议)。
1.1 TLS、SSL加密算法
加密算法严格来说属于编码学(密码编码学),编码是信息从一种形式或格式转换为另一种形式的过程,解码是编码的逆过程(对应密码学中的解密)。加密算法主要分为两类,对称加密算法和非对称加密算法。
- 在对称加密算法中,使用的密钥只有一个,发收信双方都使用这一个密钥进行加密和解密,这就要求解密方事先知道加密密钥。
- 非对称加密算法需要两个密钥,公开密钥和私有密钥,公开密钥与私有密钥是一对,如果用公开密钥进行数据加密,只有用对应的私有密钥才能解密,服务器端发送加密锁给客户端,公开密钥需要定期更换。
身份认证是建立每一个TLS连接不可或缺的部分,比如你有可能跟任何一方建立一个加密的通道,包括攻击者,除非我们确保通信的,在开始加密通道之前。服务端是我们可以信任的,否则所有的加密(保密)工作都没有任何作用,而身份认证的方式就是通过证书以数字方式签名的声明,它将公钥与持有相应私钥的主体(个人、设备或服务)身份绑定在一起,通过在证书上签名,CA可以核实与证书上公钥相对应的私钥为证书所指定的主体所拥有。客户端和服务器首先必须建立连接和交换参数,这个过程叫握手。
1.2 OpenSSL签发证书
OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其他目的使用。通过在一定范围内部署一台CA(Certificate Authority)服务器,可以实现局域网内的证书认证和授权,保证数据传输的安全性,也可以通过具体的部署实践,了解国际上大型CA机构的工作原理,为企业级的证书管理提供知识积累。
使用centos7签发证书流程如下:
签发CA根证书
1.生成CA密钥对(密钥对长度2048字节)
openssl genrsa -out /usr/local/srv/ftp/cas/cakey.pem 2048 RSA
2.生成根证书签发申请(证书访问时已域名出现)
openssl req -new -key /usr/local/srv/ftp/cas/cakey.pem -out /usr/local/srv/ftp/cas/cacert.csr -subj /CN=cas.com
3.根证书签发
openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey /usr/local/srv/ftp/cas/cakey.pem -in /usr/local/srv/ftp/cas/cacert.csr -out /usr/local/srv/ftp/cas/ca.cer
签发服务器证书
1.生成服务器私钥
openssl genrsa -aes256 -out /usr/local/srv/ftp/cas/server/server-key.pem 2048
2.生成服务器证书签发申请
openssl req -new -key /usr/local/srv/ftp/cas/server/server-key.pem -out /usr/local/srv/ftp/cas/server/server.csr -subj /CN=cas.com
3.生成服务器证书
openssl x509 -req -days 3650 -sha1 -extensions v3_req -CA /usr/local/srv/ftp/cas/ca.cer -CAkey /usr/local/srv/ftp/cas/cakey.pem -CAserial /usr/local/srv/ftp/cas/server/ca.srl -CAcreateserial -in /usr/local/srv/ftp/cas/server/server.csr -out /usr/local/srv/ftp/cas/server/server.cer
签发客户端证书
1.生成客户端私钥
openssl genrsa -aes256 -out /usr/local/srv/ftp/cas/client/client-key.pem 2048
2.生成客户端证书申请
openssl req -new -key /usr/local/srv/ftp/cas/client/client-key.pem -out /usr/local/srv/ftp/cas/client/client.csr -subj /CN=cas.com
3.生成客户端签发证书
openssl x509 -req -days 365 -sha1 -CA /usr/local/srv/ftp/cas/ca.cer -CAkey /usr/local/srv/ftp/cas/cakey.pem -CAserial /usr/local/srv/ftp/cas/server/ca.srl -in /usr/local/srv/ftp/cas/client/client.csr -out /usr/local/srv/ftp/cas/client/client.cer
生成Java证书(证书转换)
1.生成客户端证书
openssl pkcs12 -export -clcerts -name cas-client -inkey /usr/local/srv/ftp/cas/client/client-key.pem -in /usr/local/srv/ftp/cas/client/client.cer -out /usr/local/srv/ftp/cas/client/client.p12
2.生成服务器证书
openssl pkcs12 -export -clcerts -name cas-server -inkey /usr/local/srv/ftp/cas/server/server-key.pem -in /usr/local/srv/ftp/cas/server/server.cer -out /usr/local/srv/ftp/cas/server/server.p12
3.服务器证书导入本机受信任证书
keytool -importcert -trustcacerts -alias cas.com -file /usr/local/srv/ftp/cas/ca.cer -keystore /usr/local/tomcat/ca-trust.p12
4.查看所有证书信息
keytool -list -keystore /usr/local/srv/ftp/cas/client/client.p12 -storetype pkcs12 -v
二、SpringBoot配置Https
在Tomcat容器或是在SpringBoot项目中配置Https,一般都属于单体应用。实际上的分布式系统应该在Nginx代理上实现Https证书的配置。
2.1 生成证书
keytool -genkey -alias tomcat -keyalg RSA -keystore ./server.keystore
执行上面的命令将会生成一个erver.keystore的证书文件,将此文件拷贝到资源目录中。
2.2 修改配置
application.yml支持如下配置信息:
No. | 属性名称 | 描述 |
---|---|---|
1 | server.ssl.ciphers | 设置是否支持SSL Ciphers |
2 | server.ssl.client-auth | 设置client-Authentica是Wanted还是Needed |
3 | server.ssl.enabled | 设置是否开启SSL |
4 | server.ssl.key-alias | 设置keystore中key的别名 |
5 | server.ssl.key-password | 设置keystore中key的密码 |
6 | server.ssl.key-store | 设置keyStore的路径 |
7 | server.ssl.key-store-password | 设置访问keyStore的密码 |
8 | server.ssl.key-store-provider | 设置keyStore的提供者 |
9 | server.ssl.key-store-type | 设置keyStore类型 |
10 | server.ssl.protocol | 设置SSL协议类型,默认为TLS |
11 | server.ssl.trust-store | 设置持有SSL Certificates的Trust Store |
12 | server.ssl.trust-store-password | 设置访问Trust Store的密码 |
13 | server.ssl.trust-store-provider | 设置Trust Store的提供者 |
14 | server.ssl.trust-store-type | 设置Trust Store的类型 |
修改application.yml文件:
server: port: 443 # https默认访问端口 ssl: key-store: classpath:server.keystore # 证书存放的位置 key-alias: tomcat # 证书别名 key-store-type: JKS # P12证书格式 key-store-password: 123456
编写SpringBoot启动类:
@Controller @SpringBootApplication public class StartSpringBoot { public static void main(String[] args) { SpringApplication.run(StartSpringBoot.class, args); } @ResponseBody @RequestMapping("/home") public String home() { return "<h1>hello springboot !!! </h1>"; } }
启动项目,发现Tomcat在443端口进行了启动:
访问https://localhost/home
:
2.3 配置转换器
既然已经配置了https访问,那么原来使用http协议进行访问的路径也应该重定向到https路径下,这里仅以tomcat为例,新建配置类:
@Configuration public class HttpConnectorConfig { /** * 获取Http连接器 * @return Connector */ public Connector getHttpConnector() { Connector connector = new Connector("org.apache.coyote.http11.Http11NioProtocol"); connector.setScheme("http"); // 使用http协议 connector.setSecure(false); // 非安全传输 connector.setPort(80); // HTTP监听端口 connector.setRedirectPort(443); // 重定向端口 return connector; } @Bean public TomcatServletWebServerFactory tomcatServletWebServerFactory() { TomcatServletWebServerFactory tomcat = new TomcatServletWebServerFactory() { @Override protected void postProcessContext(Context context) { SecurityConstraint securityConstraint = new SecurityConstraint(); securityConstraint.setUserConstraint("CONFIDENTIAL"); // 设置约束 SecurityCollection collection = new SecurityCollection(); collection.addPattern("/*"); // 所有的路径全部进行重定向处理 securityConstraint.addCollection(collection); context.addConstraint(securityConstraint); } }; tomcat.addAdditionalTomcatConnectors(getHttpConnector()); // 添加连接器 return tomcat; } }
重新启动项目,发现项目同时监听了80和443端口。
访问:http://localhost/home
发现自动跳转为https访问。
到此这篇关于SpringBoot配置Https访问的文章就介绍到这了,更多相关SpringBoot配置Https访问内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!