在Spring Boot中配置ssl证书实现https

在实际项目开发过程当中，使用 http 是不安全的，因此不少时候咱们要用到 https。https 是以安全为目标的 http 通道，而 https 的安全基础是 SSL。

我在使用 SSL 的过程当中，使用了实际的证书，踩了一些坑，鉴于网上的不少教程的ssl 都是使用的 java 自带的 keytool 命令来生成的，可是对实际证书的使用方法涉及的并很少，因此将我使用过程当中的一些步骤记录下来，一是让本身记住，其次但愿能够给你们在实际过程当中有一些启发。

申请 SSL 证书

前提

• 我申请的是腾讯云的 SSL 证书。
• 若是你要申请 SSL 证书，须要有一个已经备案过的域名

步骤

1. 登陆进腾讯云，在产品中找到 SSL 证书这一项，点击进去

    

   ssl证书入口

2. 点击当即购买

3. 我使用的域名型免费版，若是你有其余的需求，也能够选择其余的选项，点击快速免费申请

4. 填写基本的信息，通用名称就写证书绑定的域名，填写本身的邮箱，备注名能够随便填，私钥密码能够不填写，所属项目选默认，进入下一步

5. 到身份验证时，选择手动 DNS 验证，点击确认。注：若你的域名和服务器已经关联起来了，则选择自动就行

6. 点击查看证书详情，进入下一个页面

7. 在这一步，须要 DNS 验证，添加解析记录，具体的步骤在操做指引中已经详细写出。简略来讲就是经过解析制定的 DNS 记录来验证域名全部权，操做指引中使用的是腾讯云云解析平台，首先添加您的域名，首先增长一条记录指向你的服务器进行绑定，即那条类型为A的记录。其次，添加给出的 DNS 记录。均添加成功后，须要回到证书详情页面，点击自助诊断，若成功则等待系统给你颁发 SSL 证书便可。

在 Spring Boot 项目中使用 https

前提

• 创建一个 Spring Boot 项目

• 已经完成了上一步

步骤

• 在腾讯云中的证书列表，下载颁发给你的证书

下载证书界面

• 下载并解压后内容以下图

文件目录

• 咱们可使用 p12 和 jks 两种格式的证书来实现使用 https 的目的，下面分别进行介绍

jks

• 把刚刚下载的文件中的 Tomcat 文件夹中的jks文件复制到 spring boot 项目中的 src/main/resources/ 目录下，和 application.properties 平级

• 而且在 application.properties 中配置以下命令

server.port: 8092
server.ssl.key-store= classpath:server.jks
server.ssl.key-store-password=你的密码
server.ssl.keyStoreType = JKS

• key-store: 生成的证书文件的存储路径,其中 server.jks 须要改成你刚刚复制进来的jks文件名

• key-store-password: 指定签名的密码，打开下载文件中 Tomcat 文件夹中的 txt 文件，即为此处填写的密码

• keyStoreType:为制定秘钥仓库的类型，这里咱们须要填写为 JKS

p12

• 打开你的远程服务端，新建一个文件夹，而且把刚刚下载的文件中的 Nginx 文件夹中的 crt 文件和 key 文件复制到此文件夹中

• 输出命令

openssl pkcs12 -export -clcerts -in yourDomain.crt -inkey myPrivateKey.key -out server.p12

• yourDomain.crt 替换为你的 crt 文件

• myPrivateKey.key 替换为你的 key 文件

• 在此过程当中须要让你输入密码，记住这个密码，后面会用到

• 执行此命令，生成了咱们须要的 p12 文件，将其复制到 spring boot 项目中的 src/main/resources/ 目录下，和 application.properties 平级

• 而且在 application.properties 中配置以下命令

server.port: 8092
server.ssl.key-store: classpath:server.p12
server.ssl.key-store-password: 刚刚设置的密码
server.ssl.keyStoreType: PKCS12
server.ssl.keyAlias:

• key-store: 生成的证书文件的存储路径,其中 server.p12 须要改成你生成的 p12 文件的名字

• key-store-password: 指定签名的密码，要设置成刚刚你设置的密码

• keyStoreType:为制定秘钥仓库的类型，这里咱们须要填写为 PKCS12

• keyAlias: 为别名

• 注：若是不知作别名，能够在服务器中输入

keytool -list -keystore server.p12

会显示：

获取别名界面

这个1即为别名

验证

• 至此，全部的基本步骤就完成了

• 能够写一个基本的 helloworld 来进行验证，将项目打包运行，能够看到已经能够在 Spring Boot 项目中使用 https 了

配置成功界面

扩展：同时只用 http 并将 http 自动转向 https

• 此段摘录自江南一点雨的专栏

• 在入口类中添加相应的转向Bean，代码以下：

@Bean
    public EmbeddedServletContainerFactory servletContainer() {
        TomcatEmbeddedServletContainerFactory tomcat = new TomcatEmbeddedServletContainerFactory() {
            @Override
            protected void postProcessContext(Context context) {
                SecurityConstraint constraint = new SecurityConstraint();
                constraint.setUserConstraint("CONFIDENTIAL");
                SecurityCollection collection = new SecurityCollection();
                collection.addPattern("/*");
                constraint.addCollection(collection);
                context.addConstraint(constraint);
            }
        };
        tomcat.addAdditionalTomcatConnectors(httpConnector());
        return tomcat;
    }

    @Bean
    public Connector httpConnector() {
        Connector connector = new Connector("org.apache.coyote.http11.Http11NioProtocol");
        connector.setScheme("http");
        //Connector监听的http的端口号
        connector.setPort(8080);
        connector.setSecure(false);
        //监听到http的端口号后转向到的https的端口号
        connector.setRedirectPort(8092);
        return connector;
    }

• 经过这段配置，访问http://localhost:8080的时候系统会自动重定向到https://localhost:8092这个地址上。

在 Nginx 上配置证书

• Nginx 证书部署在腾讯云中有官方教程

• 教程中描述的很详细，下面说一下我在操做过程当中踩过的一些坑

1. 没法将 crt 和 key 文件利用 FileZilla 软件直接传输到 etc/nginx 文件中去

   • 能够先复制到其余文件夹中，再在服务器内部复制到 etc/nginx 中去

2. 在利用bin/nginx –t来测试时，会报错nginx: [emerg] "user" directive is not allowed here in /etc/nginx/conf.d/nginx.conf:1

   • 多是由于在 nginx 目录下有不止一份 nginx 的配置文件因此产生了冲突，删除多余的那一份就行。

   ​

结果

当配置完成后，输入对应的地址，当出现以下界面则配置成功。

配置成功界面

扩展：如何将springboot项目和nginx代理联合起来

前提

• 完成了上述的springboot项目的配置和nginx代理的配置

步骤

1. 在刚刚配置的nginx.conf文件中添加一些配置信息，以下：

server {
        listen 443;
        server_name #填写绑定证书的域名;
        ssl on;     
        ssl_certificate   #填写你的证书.crt;
        ssl_certificate_key #填写你的证书.key;
        ssl_session_timeout 5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照这个协议配置
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#按照这个套件配置
        ssl_prefer_server_ciphers on;
        location / {
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header Host $http_host;
            proxy_set_header X-NginX-Proxy true;
            proxy_pass http://服务器地址:端口号/;#这里填写你的端口号，要和在springboot项目中配置的端口号一致,如果在本机操做，则服务器地址能够填0.0.0.0或者127.0.0.1
            proxy_redirect off;
        }
    }

1. 在springboot当中实现一个简单的helloworld程序

@RestController
public class helloController {
    @RequestMapping("hello")
    public String hello(){
        return "hello world！";
    }
}

1. 启动项目

结果

当配置完成后，发现经过nginx的代理依然可以使用https协议，以下所示：

 

配置成功界面

做者：谙儬 连接：https://www.jianshu.com/p/eb52e0f5ee85 来源：简书 著做权归做者全部。商业转载请联系做者得到受权，非商业转载请注明出处。