springboot实现的https单向认证和双向认证(java生成证书)
作者:布道师小羊
1、java生成HTTPS证书:
既然是双向验证,就需要双方的密钥,我们服务端称为localhost,而客户端称为client。需要生成双方的密钥文件,并把对方的cert导入自己的密钥文件里。整个过程如下:
注意:密码统一为:changeit
,这个密码自己可以设置,然后记住就可以了。
生成服务端密钥文件localhost.jks:
keytool -genkey -alias localhost -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keystore localhost.jks -dname CN=localhost,OU=Test,O=pkslow,L=Guangzhou,C=CN -validity 731 -storepass changeit -keypass changeit
导出服务端的cert文件:
keytool -export -alias localhost -file localhost.cer -keystore localhost.jks
生成客户端的密钥文件client.jks:
keytool -genkey -alias client -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keystore client.jks -dname CN=client,OU=Test,O=pkslow,L=Guangzhou,C=CN -validity 731 -storepass changeit -keypass changeit
导出客户端的cert文件:
keytool -export -alias client -file client.cer -keystore client.jks
把客户端的cert导入到服务端:
keytool -import -alias client -file client.cer -keystore localhost.jks
把服务端的cert导入到客户端:
keytool -import -alias localhost -file localhost.cer -keystore client.jks
检验服务端是否具有自己的private key和客户端的cert:
keytool -list -keystore localhost.jks
为了建立连接,应该要把客户端的密钥文件给谷歌浏览器使用。因为JKS是Java的密钥文件格式,我们转换成通用的PKCS12格式如下:
转换JKS格式为P12:
keytool -importkeystore -srckeystore client.jks -destkeystore client.p12 -srcstoretype JKS -deststoretype PKCS12 -srcstorepass changeit -deststorepass changeit -srckeypass changeit -destkeypass changeit -srcalias client -destalias client -noprompt
成功执行完上述步骤后,会生成5个文件:
- 服务端密钥文件: localhost.jks
- 服务端cert文件:localhost.cer
- 客户端密钥文件:client.jks
- 客户端cert文件:client.cer
- 客户端能识别的密钥文件:client.p12
2、配置SpringBoot:
在application.properties或者application.yml中去配置即可:
server.port=443 server.ssl.enabled=true server.ssl.key-store-type=JKS server.ssl.key-store=classpath:localhost.jks server.ssl.key-store-password=changeit server.ssl.key-alias=localhost server.ssl.trust-store=classpath:localhost.jks server.ssl.trust-store-password=changeit server.ssl.trust-store-provider=SUN server.ssl.trust-store-type=JKS server.ssl.client-auth=need
需要将生成的localhost.jks文件放到springboot项目中的resource文件夹下,然后重启项目,就可以了
需要分别配置Key Store和Trust Store的文件、密码等信息,即使是同一个文件。
需要注意的是,server.ssl.client-auth有三个可配置的值:none、want和need。双向验证应该配置为need;none表示不验证客户端;want表示会验证,但不强制验证,即验证失败也可以成功建立连接。
3、用Postman测试双向验证:
完成密钥文件准备和配置后,启动SpringBootbian便可以了,我这里用谷歌浏览器访问如下:
然后我将生成的证书导入到浏览器中,重启浏览器继续访问测试接口,就会提示我们选择证书,点击我们导入的证书就可以正常访问了。
如何在浏览器中导入证书呢?打开谷歌浏览器,找到设置->隐私设置和安全性->安全->管理设备证书->导入,按步骤提示导入就可以了,导入的是client.p12这个文件,
需要输入密码就是我们前面设置的changeit,当然你设置了其他的密码,正常输入就可以了。
然后重启浏览器再次访问,记得是https开头的URL,就会提示我们选择证书,选择我们导入的证书,点击确定就可以了。
至于单向认证只需要我们将server.ssl.client-auth的值改为none就可以了,这样我们就不需要在客户端浏览器导入证书了,访问遇到警告,点击滤过继续访问就可以正常访问了
至此整个认证过程就结束了,更多相关springboot https单向认证和双向认证内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!