spring-boot https证书双向认证配置

已于 2024-06-02 11:03:01 修改
阅读量2k 收藏 30
点赞数 23
分类专栏: SpringBoot 文章标签: https ssl 服务器
于 2024-03-12 23:38:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/next_second/article/details/136666528
版权

文章目录

spring-boot https证书双向认证配置

本文主要介绍在spring-boot工程中配置https证书双向认证。包含生成自签名证书命令,配置yml等。

注意:

  • 该文章使用自签名证书,仅作为开发验证使用,实际现网场景请从CA机构申请证书。
  • 文章中的命令均在linux环境下执行。
  • openssl版本为 OpenSSL 1.1.1k FIPS 25 Mar 2021。
  • keytool对应jre版本为 1.8.0_401。

1. 创建CA证书

创建CA证书。相关文件:

  • rootca.key CA证书私钥。
  • rootca.crt CA证书。
  • rootca.p12 PKCS12格式的信任证书库。
  • truststore.jks JKS格式的信任证书库。
# 1. 创建CA私钥 RootCaKey@2024 生成 rootca.key
openssl genpkey -aes256 -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out rootca.key -pass pass:'RootCaKey@2024'
# 2. 创建CA证书请求 生成 rootca.crt
openssl req -x509 -days 3650 -sha256 -key rootca.key -passin pass:'RootCaKey@2024' -out rootca.crt -subj "/C=CN/CN=demorootca.demo.com"
## 生成并导入信任证书库 PKCS12 生成 rootca.p12 TrustStore@2024
keytool -import -noprompt -trustcacerts -alias rootca -file rootca.crt -keystore rootca.p12 -storetype PKCS12 -storepass 'TrustStore@2024'
### 查看
keytool -list -v -keystore rootca.p12 -storetype PKCS12 -storepass 'TrustStore@2024'
## 生成并导入信任证书库 JKS 生成 truststore.jks
keytool -import -noprompt -trustcacerts -alias rootca -file rootca.crt -keystore truststore.jks -storetype JKS -storepass 'TrustStore@2024'
### 查看
keytool -list -v -keystore truststore.jks -storetype JKS -storepass 'TrustStore@2024'

2. 签发服务端证书

生成服务端证书 server.crt 并且使用ca证书签发。可以使用命令验证。

openssl genpkey -aes256 -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out server.key -pass pass:'ServerKey@2024'
openssl req -new -key server.key -passin pass:'ServerKey@2024' -out server.csr -subj "/C=CN/CN=server.demo.com"
openssl x509 -req -in server.csr -CA rootca.crt -CAkey rootca.key -passin pass:'RootCaKey@2024' -CAcreateserial -out server.crt -days 3650 -sha256
## 使用CA证书验证服务端证书
openssl verify -verbose -CAfile rootca.crt server.crt

3. 签发客户端证书

生成客户端证书 client.crt 并且使用ca证书签发。可以使用命令验证。

openssl genpkey -aes256 -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out client.key -pass pass:'ClientKey@2024'
openssl req -new -key client.key -passin pass:'ClientKey@2024' -out client.csr -subj "/C=CN/CN=client.demo.com"
openssl x509 -req -in client.csr -CA rootca.crt -CAkey rootca.key -passin pass:'RootCaKey@2024' -CAcreateserial -out client.crt -days 3650 -sha256
## 使用CA证书验证客户端证书
openssl verify -verbose -CAfile rootca.crt client.crt

4. 生成PKCS12服务端证书

通过 openssl 命令生成服务端用的证书 server.p12 和客户端用到的证书 client.p12。可以使用 keytool 命令查看。

  • server.key+server.crt+rootca.crt -> server.p12

  • client.key+client.crt+rootca.crt -> client.p12

openssl pkcs12 -export -inkey server.key -passin pass:'ServerKey@2024' -in server.crt -chain -CAfile rootca.crt -out server.p12 -password pass:'ServerKeyStore@2024'
## 查看 server.p12证书
keytool -list -v -keystore server.p12 -storepass 'ServerKeyStore@2024'
# 生成PKCS12客户端证书
openssl pkcs12 -export -inkey client.key -passin pass:'ClientKey@2024' -in client.crt -chain -CAfile rootca.crt -out client.p12 -password pass:'ClientKeyStore@2024'
## 查看 client.p12 证书
keytool -list -v -keystore client.p12 -storepass 'ClientKeyStore@2024'

5. 配置spring-boot工程

将前边生成的证书 server.p12,truststore.jks,rootca.p12文件,拷贝到 src/main/resources/cert/ 目录下。并修改 application.yml,内容如下:

使用rootca.p12

server:
  ssl:
    enabled: true
    key-store: classpath:cert/server.p12
    key-store-password: 'ServerKeyStore@2024'
    key-store-type: PKCS12
    key-store-provider: BC
    enabled-protocols: TLSv1.2,TLSv1.3
    trust-store: classpath:cert/rootca.p12
    trust-store-password: 'TrustStore@2024'
    trust-store-type: PKCS12
    trust-store-provider: BC
    client-auth: need
  servlet:
    context-path: /SpringBoot2Demo
  port: 8888

logging:
  level:
    root: info

使用 truststore.jks

server:
  ssl:
    enabled: true
    key-store: classpath:cert/server.p12
    key-store-password: 'ServerKeyStore@2024'
    key-store-type: PKCS12
    key-store-provider: BC
    enabled-protocols: TLSv1.2,TLSv1.3
    trust-store: classpath:cert/truststore.jks
    trust-store-password: 'TrustStore@2024'
    trust-store-type: JKS
    trust-store-provider: SUN
    client-auth: need
  servlet:
    context-path: /SpringBoot2Demo
  port: 8888

logging:
  level:
    root: info

由于要使用到 BouncyCastleProvider,需要添加相关依赖和配置:

pom.xml

        <dependency>
            <groupId>org.bouncycastle</groupId>
            <artifactId>bcprov-jdk18on</artifactId>
            <version>1.78.1</version>
        </dependency>

启动类:

    static {
        Security.addProvider(new BouncyCastleProvider());
    }

6. 验证请求

使用curl命令和使用postman均可以验证,需要配置客户端证书。

# 使用命令验证
curl -k --cert-type P12 --cert ./client.p12:'ClientKeyStore@2024' --location --request GET 'https://localhost:8888/SpringBoot2Demo/demo/current'

使用postman的时候,需要将 Settings->General->REQUEST->SSL certificate verification 开关关掉,即不校验SSL服务端证书。

源代码地址github

源代码地址gitee

杨小熊的笔记
关注
专栏目录
【开源】hotssl-spring-boot-starter 实现Https双向认证 + 证书热加载
mzh1994s的博客
10-18 872
SpringBoot 实现Https双向认证 + 证书热加载 实现原理 使用自定义javax.net.ssl.X509TrustManager,自定义证书验证逻辑,实现从数据库加载证书、文件加载证书、缓存加载证书等。 添加maven依赖 <dependency> <groupId>org.springframework.boot</groupId> &l...
基于springboot实现的https单向认证双向认证(java生成证书
码说芯语的博客
10-24 7519
1、java生成HTTPS证书: 既然是双向验证,就需要双方的密钥,我们服务端称为localhost,而客户端称为client。需要生成双方的密钥文件,并把对方的cert导入自己的密钥文件里。整个过程如下: 注意:密码统一为:changeit,这个密码自己可以设置,然后记住就可以了。 生成服务端密钥文件localhost.jks: keytool -genkey -alias localhost -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keystor
springboot项目配置https证书
最新发布
不积跬步,无以至千里
08-08 605
springboot项目直接http访问不安全,如何开启https
springboot SSL双向验证原理及配置
qq_17236715的博客
07-30 2931
SSL层协议 SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。 SSL加密通道上的数据加解密使用对称密钥算法,目前主要支持的算法有D
SpringBoot 配置单向和双向认证
一个95后开发者,热爱编程,喜欢玩游戏. 希望可以结识更多的小伙伴...
06-30 1149
springboot配置SSL证书HTTPS访问
07-17
springboot配置SSL证书HTTPS访问,简单快捷通俗易通,
springboot整合https实现双向认证
flyfun123的博客
09-08 1598
从创建证书到具体调用,亲手验证过了
基于SpringBoot双向HTTPS认证配置
BlackButtonCC's life!
08-22 4300
文章目录一、最终效果二、步骤2.1 单向认证2.1.1 创建SpringBoot项目2.1.2 利用keytool生成密钥库(keystore)2.1.3 对SpringBoot进行配置2.1.4 测试2.2 双向认证2.2.1 利用keytool生成用户端密钥库并安装2.2.2 导出用户端数字证书2.2.3 服务器端信任用户端数字证书2.2.4 配置Spring Boot2.2.5 测试三、思考...
springboot项目开启ssl双向认证且实现相互访问通信浏览器访问通信
YnagLei的博客
03-05 1911
这段命令是使用Java的keytool工具生成一个RSA算法的密钥对,并将其保存在名为server.jks的密钥库文件中。上面的命令使用keytool工具从server.jks keystore中导出server别名的证书,并保存为server.cer文件。这段命令与上一个命令类似,也是使用Java的keytool工具生成一个RSA算法的密钥对,并将其保存在名为client.jks的密钥库文件中。
SpringBoot https双向认证实现证书热加载
mzh1994s的博客
10-11 1991
SpringBoot 实现SSL证书热加载外置Tomcat实现请转移到此处(本文也是受此文章启发)SpringBoot方式前言缺点结尾 外置Tomcat实现请转移到此处(本文也是受此文章启发) https://blog.csdn.net/u012613903/article/details/53608331 SpringBoot方式 前言 公司做的是金融服务,需要为第三方提供Http接口服务,但由...
SpringBoot服务间使用自签名证书实现https双向认证
抛洒的阳光专栏
05-21 1667
以服务server-one和server-two之间使用RestTemplate调用为例 一、生成密钥 需要生成server-one和server-two的客户端密钥和一个信任库密钥 1、生成TrustStore(信任库) keytool -genkey -alias trustkeys -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore trustKeys.p12 -validity 36500 2、生成server-one客户端密钥 keyto
SpringBoot 2.x 配置ssl - 自签证书/信用库
杨杨杨~~的博客
07-25 553
如果您觉得有用的话,记得给,写作不易啊^ _ ^。而且听说,实在白嫖的话,那欢迎常来啊!!!
SpringBoot+SpringSecurity OAuth2 认证服务搭建实战 (三)
06-20 752
OAuth2认证对象,主要是第三方应用,即客户端clientClient分两种:开放客户端,私有客户端所谓开放客户端就是,随便那个人都能启个应用服务,然后跑到授权平台去注册。比如企业微信。私有客户端是指公司企业内部的应用服务,同时授权服务也是公司内部的,它们俩自己人和自己人玩。很多大公司都有自己的单点登录服务,就是会用到OAuth协议。这两种客户端在认证方式上本质没什么分别,因为谁都想认证方式更安全,更好用。只是给不给你用而已!
SpringBoot https双向认证操作
u013187531的博客
05-12 1693
一、构建证书 1、生成TrustStore(信任库)-----trustKeys.p12 ##keytool -genkeypair -alias [alias] -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore [名称] -validity [过期天数] keytool -genkeypair -alias trustkeys -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore trustK
spring boot,https双向ssl认证
weixin_30693183的博客
12-09 890
一、生成服务器证书 1、在cmd窗口执行命令:keytool -genkey -v -alias server -keyalg RSA -storetypePKCS12 -keystore c:\keystore\server.keystore,   密码随意,自己记住就行。 二、生成客户端证书 1、在cmd窗口执行命令:keytool -genkey -v -alias te...
springboot https_【springboot配置实现https单项认证双向认证
weixin_39645249的博客
11-26 886
1、什么是httpsHTTPS其实是HTTP + SSL,S的含义也就是Secure Socket Layer(简称SSL)。下边简单介绍一下SSL:SSL是用于在web上实现加密最广泛使用的协议。SSL为用于Internet通信的标准TCP / IP通信协议提供安全增强。SSL添加在标准的TCP/IP协议中的传输层和应用层之间。HTTP是使用SSL协议最常见的应用,即Internet网页的协...
springboot基于keytool实现https双向认证
BestEternity的博客
06-27 2351
springboot基于keytool实现https双向认证
SpringBoot作为服务端实现SSL双向认证HTTPS
qq_36313856的博客
12-19 3911
一、背景介绍 项目需要Springboot作为服务端与客户端之间进行HTTPS通信,需要实现SSL双向认证。当前所用的证书相关文件有:ca.crt、ca.key、client.crt、client.key、server.crt、server.key 二、实现步骤 1、对服务端证书和私钥进行打包处理,打包时需要输入密码,密码在application.xml配置文件中会用到(使用到openssl工具,没有的话自行下载) openssl pkcs12 -export -clcerts -in server.crt
spring-boot-maven-plugin 配置文件目录
03-28
spring-boot-maven-plugin 是一个用于构建和打包 Spring Boot 应用程序的 Maven 插件。它提供了一些配置选项,可以在 pom.xml 文件中进行配置。 在 pom.xml 文件中,可以通过 `<build>` 元素下的 `<plugins>` 元素来配置 spring-boot-maven-plugin。具体的配置文件目录是根据项目结构而定的,一般情况下,配置文件应该放在 `src/main/resources` 目录下。 以下是一个示例的 pom.xml 文件中 spring-boot-maven-plugin 的配置: ```xml <build> <plugins> <plugin> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-maven-plugin</artifactId> <configuration> <!-- 其他配置项 --> </configuration> </plugin> </plugins> </build> ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值