基于SpringBoot的双向HTTPS认证配置

最新推荐文章于 2024-05-28 13:51:00 发布
最新推荐文章于 2024-05-28 13:51:00 发布
阅读量3.9k 收藏 20
点赞数 3
分类专栏: JavaEE 文章标签: HTTPS 双向认证 HTTPS双向认证 客户端认证 客户端校验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BlackButton_CC/article/details/99956259
版权

文章目录

一、最终效果

  HTTPS双向认证,不仅仅需要用户浏览器校验服务器数字证书,还需要服务器端验证用户是否是可信的,在诸如金融、军事等涉密领域,非常讲究系统的安全性,理应杜绝任何其他无关用户访问服务器。
  对于HTTPS的基础知识在此不再赘述,在完成最终的HTTPS双向认证配置后,用户端访问服务器时,用户端浏览器会让用户选择自己被服务器信任的证书,来完成用户端的认证,如下图:
Chrome选择证书

二、步骤

2.1 单向认证

先从单向认证入手,理清楚基本的概念和脉络。

  单向认证指的是“服务器端认证”,指的是当客户访问服务器的时候,客户方去校验服务器是否是自己想去访问的服务器,我们一步步来。

2.1.1 创建SpringBoot项目

  利用Intellij IEAD,我们可以轻松便捷的创建各种版本的Spring Boot项目,点击File—>New—>Project,切换到Spring Initializr。
Spring Boot项目创建
   在Dependencies中把Web的Spring Web Strarter选中,其余的配置默认即可,于是便创建了项目“com.example.demo",目录结构如下:
Spring Boot目录

2.1.2 利用keytool生成密钥库(keystore)

  Keytool是Java用于管理密钥和证书的工具,其功能包括:

  • 创建并管理密钥
  • 创建并管理证书
  • 作为CA为证书授权(比如可以自己给自己的证书授权)
  • 导入导出证书

  密钥库指的是可以存放密钥的一个库,创建的密钥或者证书总需要一个地方存着吧,所以keytool决定在密钥库里面存放公钥,私钥或者数字签名,再配合着一套keytool的命令去进行密钥库的管理。
  在CMD运行下面命令,在C盘的当前用户文件夹里(如:C:\Users\CharlesChen)会生成"server.p12"文件。

keytool -genkey -alias server -keyalg RSA -keystore server.p12 -validity 360 -storepass 123456 -storetype PKCS12 -keysize 2048 -dname "CN=localhost, OU=localhost, O=localhost, L=CD, ST=CD, C=CN"

  简单解释下:

  • -genkey:创建keystore和密钥对(看做创建一张SQL表,-genkeypair与此命令没有差别)
  • -alias:和keystore关联的别名(为新纪录添加GUID)
  • -keyalg:加密方式
  • -validity:该密钥的有效期为 180天(默认为90天)
  • -storepass:存取密码
  • -storetype:密钥库类型
  • -keysize:密钥长度
  • -dname:证书个人信息(CN:commonName服务器域名、OU:organizationUnit、O:organizationName、L:localityName、S:stateName、C:country)
    更多细节可以参考其他博客《证书及证书管理(keytool工具实例)》

2.1.3 对SpringBoot进行配置

  首先把创建的"server.p12"文件放在resources同级目录下,然后在applicaiotn.preperties里写入如下配置:

# 服务器端证书检验
server.ssl.key-store=classpath:server.p12
server.ssl.key-store-password=123456
server.ssl.key-store-type=PKCS12
server.ssl.key-alias=server

  至此,我们便完成了服务端认证的配置。

2.1.4 测试

  启动项目后,我们利用Chrome浏览器访问https://localhost:8080,如下图:
访问单向认证的https
  之所以会报错,是因为该服务器的证书是我们自己签发的,在浏览器信任的CA列表中并没有我们自己。

2.2 双向认证

基于单向认证,怎样才能实现“客户端认证”?

  双向认证的流程大体是:

  • 用户生成自己的数字证书(不是密钥库,不过数字证书可以从密钥库导出,可以理解为没有私钥的密钥库)。
  • 用户端安装自己的数字证书。
  • 服务器端在密钥库中添加对用户端数字证书的信任。

2.2.1 利用keytool生成用户端密钥库并安装

  现在我们转换角色成为一个需要证明自己是自己的客户,同样,客户需要生成他自己的密钥库,命令如下:

keytool -genkey -alias client -keyalg RSA -keystore client.p12 -validity 360 -storepass 123456 -storetype PKCS12 -keysize 2048 -dname "CN=client, OU=client, O=client, L=CD, ST=CD, C=CN"

  生成密钥库后,双击并安装自己的证书,相当于你出门要把身份证带在身上,光有身份证还不行,如下图:
安装客户端证书

2.2.2 导出用户端数字证书

  运行下面命令,可在C盘的当前用户文件夹里会生成"client.cer"文件。

keytool -keystore client.p12 -export -alias clent -file client.cer

  简单解释下:

  • -keystore:选中的密钥库
  • -file:导出格式

2.2.3 服务器端信任用户端数字证书

  运行下面的命令,把导出的client.cer数字签名证书加入到服务器密钥库里面,让服务器信任用户证书。

keytool -import -file client.cer -keystore server.p12

  我们输入下面命令可以查看最终服务器密钥库的密钥列表:

keytool -list -keystore server.p12 -storepass 123456 -storetype PKCS12

  在下图中我们可以看到,在server.p12中有一个包含了私钥的实体,还有个来自客户端的信任实体。
密钥库列表

2.2.4 配置Spring Boot

  在application.properties里面添加下面的配置,启用客户端校验,并说明密钥库位置。

# 客户端证书校验
server.ssl.trust-store=classpath:server.p12
server.ssl.trust-store-password=123456
server.ssl.trust-store-type=JKS
server.ssl.trust-store-provider=SUN
server.ssl.client-auth=need

2.2.5 测试

  利用Chrome登录后我们发现会让用户选择自己的证书,这样会让服务器在自己的信任库里面搜索,如下图:
Chrome选择证书  项目代码已上传到码云Gitee:https://gitee.com/blackbuttoncc/two-way-HTTPS-demo

三、思考

如何证明你是你自己,每次想起就头疼!

  值得一提的是,上述步骤只是配置了HTTPS,但是没有禁止HTTP连接,所以后续优化步骤可以是强制所有的连接强制使用HTTPS,可参考文章《springboot–http跳转https》,在此不再赘述。
  最后,如果真的决定在生产环境中配置在应用中验证双向HTTPS验证,推荐分离服务器端的原始密钥库和信任库。例如,在本文中,是在服务器密钥库配置的信任实体,最好可以分离为server.p12和trust.p12两个库,这样可以很方便的维护。

四、参考文献

  1. 《使用keytool 生成证书》,作者:美码师
  2. 《证书及证书管理(keytool工具实例)》,作者:南极山
  3. 《Keytool工具生成SSL证书以及在Java中实现SSL》,作者:Obito_uchiha
  4. 《Springboot的SSL双向认证》,作者:得谷养人
  5. 《springboot–http跳转https》,作者:乐兰特
BlackButton_CC
关注
  • 3
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot项目中支持https、http,数字证书校验详解
zhangpf的博客
07-24 1851
Springboot项目可以通过server配置 开启http、https访问功能,具体如何通过配置开启 不作详述 本文章提供如何在开启Springboot后,手动开启https支持,并且可双向校验证书功能 版本:Springboot2.x 第一步: 在正常启动Springboot项目情况下,手动添加Configuration类支持https 具体类代码如下: 写了注释的代码一定要仔细看,防止达不到想要的效果 import lombok.Getter; import lombok.Sette
基于springboot的Netty的SSL加密PKI认证通信
04-01
采用springboot的基于Netty的SSL加密PKI认证通信,里面模拟了Netty的客户端和服务端的证书认证规则,同时分为单向认证双向认证信任证书链并对RA颁发的证书来进行验签,实现了双向和单向加密通信,保障了数据的...
spring boot启动使用https(支持证书生成和同时支持http和https,使用keytool生成证书)
weixin_38941757的博客
05-28 1136
此时启动项目就可以使用https访问了,这时是不能使用http访问的。
Spring boot部署SSL证书及keytool相关
月明海沧
10-19 869
目录一、Spring boot部署SSL证书1、申请并下载SSL证书2、生成.jks文件3、在项目中部署4、修改启动类,让http请求重定向到https(如果需要)二、keytool相关1、keytool2、keytool 常用命令3、遇到的坑(1)为什么不要下载阿里云jks格式的证书(2)Tomcat启动报错当前端口已被占用(实际没有被占用)参考 一、Spring boot部署SSL证书 1、申请并下载SSL证书 我是阿里云的服务器,阿里云有免费的SSL证书可以申请,申请后下载Tomcat类别对应的证书
SpringBoot 配置 SSL 证书实现 https 访问
qq_31856061的博客
07-04 1960
完整过程: 因为没有指定存储路径,默认以命令执行路径作为证书保存路径,生成完成 C:\Users\Mr yang 下即可找到名为 test.p12 的证书文件把证书放到资源根中 增加配置项: 访问测试 http 访问失败 https 访问成功......
基于springboot实现的https单向认证双向认证(java生成证书
码说芯语的博客
10-24 7263
1、java生成HTTPS证书: 既然是双向验证,就需要双方的密钥,我们服务端称为localhost,而客户端称为client。需要生成双方的密钥文件,并把对方的cert导入自己的密钥文件里。整个过程如下: 注意:密码统一为:changeit,这个密码自己可以设置,然后记住就可以了。 生成服务端密钥文件localhost.jks: keytool -genkey -alias localhost -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keystor
SpringBoot配置SSL证书,开启HTTPS安全访问!!!
qq_43532069的博客
07-03 4406
ssl证书配置开启https安全访问!
SpringBoot https双向认证操作
u013187531的博客
05-12 1658
一、构建证书 1、生成TrustStore(信任库)-----trustKeys.p12 ##keytool -genkeypair -alias [alias] -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore [名称] -validity [过期天数] keytool -genkeypair -alias trustkeys -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore trustK
SpringBoot结合keytool配置ssl双向认证通信
天天向上
11-10 2839
SpringBoot结合keytool配置ssl双向认证通信。 keytool、SpringBoot、restTemplate、ssl、双向认证https、keystore、jks。
HTTPS原理(证书验证+数据传输)+SpringBoot配置https
usa_washington的博客
09-12 662
HTTPS协议
springboot整合https实现双向认证
flyfun123的博客
09-08 1427
从创建证书到具体调用,亲手验证过了
基于springboot+layim的在线聊天系统源码.zip
08-29
《构建基于SpringBoot+LayIM的在线聊天系统》 在现代互联网应用中,实时通讯功能已经成为不可或缺的一部分,尤其在社交、协作等场景下。本篇文章将深入探讨如何利用Java技术栈,特别是SpringBoot框架,结合LayIM...
基于SpringBoot + Vue的电影售票及影院管理系统.zip
05-26
《构建基于SpringBoot + Vue的电影售票及影院管理系统》 在现代互联网技术的推动下,电影售票及影院管理系统已经成为电影院日常运营不可或缺的一部分。本系统利用先进的SpringBoot框架和前端Vue.js技术,旨在提供一...
基于springboot学生就业管理系统.zip
03-21
《基于SpringBoot的学生就业管理系统详解》 在当前信息化社会中,高效的学生就业管理系统对于高校管理和学生服务至关重要。本文将深入探讨一个基于SpringBoot框架构建的学生就业管理系统,旨在提供全面、便捷的服务...
基于VUE+SpringBoot的云盘项目
03-18
总结来说,这个基于Vue+SpringBoot的云盘项目,融合了前端的动态渲染、后端的RESTful服务、数据库操作、用户认证、文件管理、多线程技术等多种技术,展示了现代Web应用开发的综合实践。对于开发者来说,这是一个很好...
Spring实现HTTPS方式访问服务(单向认证)
Staba的博客
11-24 3702
本文通过Spring配置https服务,后续会将相关的知识内容简单讲解一下,该文章主要是https单向认证双向认证实现过程将在后续不久的另外一边文章涉及,感兴趣的小伙伴可以提前提供关注一下。
SpringBoot项目中添加证书授权认证
Java全栈领域/离线地图/微服务
01-18 1597
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录一、项目场景二、方案思路三、实施流程1.引入库2.编写代码四、拓展 一、项目场景 在上线的项目中,需要添加一个定时授权的功能,对系统的进行授权认证,当授权过期时提示用户需要更新授权或获取授权,不让用户无限制的使用软件。 二、方案思路 在查阅相关资料进行整理后,对该场景做了一套解决方案,大致的思路如下: 使用smart-license-1.0.3工具生成校验证书文件(会根据输入的时长和密码进行授权),工具已上传至百度网盘。
spring-boot https证书双向认证配置
杨小熊学习笔记
03-12 1602
spring-boot https证书双向认证配置
springboot项目开启ssl双向认证且实现相互访问通信浏览器访问通信
YnagLei的博客
03-05 1555
这段命令是使用Java的keytool工具生成一个RSA算法的密钥对,并将其保存在名为server.jks的密钥库文件中。上面的命令使用keytool工具从server.jks keystore中导出server别名的证书,并保存为server.cer文件。这段命令与上一个命令类似,也是使用Java的keytool工具生成一个RSA算法的密钥对,并将其保存在名为client.jks的密钥库文件中。
springboot 双向认证
最新发布
05-30
Spring Boot是一个基于Spring框架的快速开发Web应用的工具,它提供了很多便捷的配置和开箱即用的功能,方便开发人员快速构建应用。而双向认证是指在SSL/TLS协议中,客户端和服务端都需要验证对方身份的过程,确保通信双方的身份是合法可信的。 Spring Boot双向认证需要在配置文件中设置服务端和客户端证书的相关信息,然后通过Java的SSLContext对象来实现双向认证。在服务端验证客户端身份时,可以通过设置客户端证书信任库来控制哪些客户端证书是合法的;在客户端验证服务端身份时,则需要提供服务端证书以及服务端证书信任库。 总之,Spring Boot双向认证可以有效提升通信安全性和可信度,适用于一些对通信安全性有较高要求的应用场景。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值