让我们加密保护Spring Boot （还不快点收藏？）

在这篇文章中，学习如何使用Spring Boot加密工具来生成HTTPS证书并自动更新它们。

在本文中，我们将了解如何做到以下几点:

1. 免费生成有效证书
2. 用它配置一个Spring Boot应用程序
3. 当它到期时更新它

在我之前的博客帖子，我们熟悉了Spring Boot应用使用自签名证书。自签名证书适用于特定目的，如测试和开发。但是，如果需要将应用程序交付生产，证书应该由已知的合法证书颁发机构(CA)进行签名。

这些类型的证书通常很贵。如果您想用TLS强化您的应用程序，您需要购买其中的一个。应用服务器的价格和复杂配置为许多web应用程序使用安全连接设置了障碍。

在……里后斯诺登时代，没有人需要让我们相信使用HTTPS的安全连接是必须的。有很多努力来提高开发人员和IT管理员的意识，以便在他们制作的每个网站上使用这些技术。但是怎么做呢？

让我们加密项目旨在使HTTPS不仅免费而且以最简单的配置方式进入万维网。

在本文中，我们将介绍:

• 颁发证书和Spring Boot集成
• 如何使用“让我们加密”生成证书
• 如何从PEM文件生成PCKS#12文件
• Spring Boot应用程序的配置
• 续订(即将)过期的证书
• 更新过程
• 为Spring Boot做准备

如何使用“让我们加密”生成证书

Let's Encrypt为Apache和Nginx等一些应用服务器提供了几个插件。在本节中，因为我们的目标是Spring Boot应用程序(带有嵌入式Jetty/Tomcat)，所以我们只生成证书，然后与我们的应用程序集成。

如果您在服务器或云提供商处使用防火墙或任何其他安全机制，您应该放松几分钟，特别是端口80和端口443。

端口80应该是开放的，可以免费使用，因为Let's Encrypt在后台运行一个小型HTTP服务器，以证明您是否控制您的域地址(ACME协议).

1.您需要获取的源代码让我们加密在您的域地址所指向的服务器上。这一步可能需要几分钟时间。

$ git clone https://github.com/certbot/certbot 
$ cd certbot
$ ./certbot-auto --help

备注:应事先安装Python 2.7.8(或以上版本)。

2.通过在您的终端中执行以下命令，让加密为您生成证书和私钥。

$ ./certbot-auto certonly -a standalone \
     -d seeld.eu -d www.seeld.eu

1. 密钥是在中生成的/etc/letsencrypt/live/seeld.eu.

备注:“certonly”意味着这个命令不附带任何特殊的插件，如Apache或Nginx。“独立”意味着“让我们加密”将在端口80上自动创建一个简单的web服务器，以证明您控制该域。

如何从PEM文件生成PKCS12文件

证书和私钥分两步免费生成，可见Let's Encrypt的简单性。所有这些生成的材料都与PrivacyEnhancedMail增强的私密电子邮件Spring Boot不支持扩展。Spring Boot不支持由“让我们加密”生成的PEM文件。Spring Boot支持PKCS12扩展。使用OpenSSL，我们将证书和私钥转换为PKCS12。

要将PEM文件转换为PKCS12版本:

1. 请访问/etc/letsencrypt/live/seeld.eu。
2. 我们在终端中使用OpenSSL将密钥转换为PKCS12，如下所示。

$ openssl pkcs12 -export -in fullchain.pem \ 
                 -inkey privkey.pem \ 
                 -out keystore.p12 
                 -name tomcat \
                 -CAfile chain.pem \
                 -caname root

PKCS12的文件“keystore.p12”现在在“
/etc/letsencrypt/live/seeld.eu”中生成。

Spring Boot应用程序的配置

现在我们想配置我们的Spring Boot应用程序，使其受益于证书和私钥，并最终准备好HTTPS。此时，我们已经生成了我们的证书和私钥。然后，我们将密钥转换成PKCS12扩展，准备用于Spring应用程序。

1. 打开您的“应用程序.属性”
2. 把这个配置放在那里。

server.port: 8443
security.require-ssl=true
server.ssl.key-store:/etc/letsencrypt/live/seeld.eu/keystore.p12
server.ssl.key-store-password: <your-password>
server.ssl.keyStoreType: PKCS12
server.ssl.keyAlias: tomcat

注意需要-' ssl' -意味着您的服务器只处理HTTPS保护的请求。

如果您访问https://seeld.eu:8443，您可以看到https已成功配置，最重要的是，它正在工作。为了我们的项目，我们做了一些额外的步骤，让HTTPS使用端口80。可以用https://seeld.eu网址浏览。

更新过程

让我们加密证书只对有效90天。有些人可能会说，与其他供应商提供的证书有效期相比，3个月太短了。他们做出这个严格的决定有两个动机:限制密钥泄露或错误发布造成的损害，以及鼓励自动化。所以让我们开始吧！

1. 打开你的加密客户端目录，我指的是certbot。备注:在证书和密钥所在的同一台计算机上。请阅读部分的所有备注，例如安装python、打开端口80等。
2. 按如下方式运行renew命令。

$ sudo ./certbot-auto renew

此命令检查位于此机器(由Let's Encrypt管理)中的证书的到期日期，并更新已到期或即将到期的证书。

我们有新的证书，就这么简单！

正如在“让我们加密”一节中所讨论的，Spring Boot不支持由“让我们加密”生成的PEM文件。Spring Boot支持PKCS12扩展。使用OpenSSL，我们将证书和私钥转换为PKCS12。

为Spring Boot做准备

让我们创建一个PKCS#12主要商店！

1. 请访问/etc/letsencrypt/live/seeld.eu
2. 我们在终端中使用OpenSSL将密钥转换为PKCS12，如下所示。

$ openssl pkcs12 -export -in fullchain.pem \ 
                 -inkey privkey.pem \ 
                 -out keystore.p12 
                 -name tomcat \
                 -CAfile chain.pem \
                 -caname root

“文件”keystore.p12现在在“
/etc/letsencrypt/live/seeld.eu”中生成了带有PKCS12的。

但是等等！

我想你正在研究的机器就是运行Spring Boot的那台。这意味着我们还没有完成！以前的keystore.p12仍然在内存中，这意味着你需要重启你的应用程序！

简单地重启正在运行的应用程序并不总是可行的。可能有其他方法可以在不重启的情况下更新它，但这不在本文的讨论范围之内。

带回家的信息

在这篇文章中，我们看到了如何发布、更新一个加密证书，最重要的是，将它与Spring Boot集成。如果你真的没有不必要的配置，不到5分钟就可以准备好所有的东西。

对我来说，主要的信息是，无论您管理多少服务，Let's Encrypt都可以让每个人非常快速、轻松、廉价地(重新)颁发证书！你应该尽快开始生HTTPS。

最后

机会是留给有准备的人的，点赞+收藏，更多的java课程学习路线,笔记,等架构资料，想要学习的朋友关注博主+私信“学习”可获得免费资料！！