Spring boot部署SSL证书及keytool相关

最新推荐文章于 2023-07-14 17:31:25 发布
最新推荐文章于 2023-07-14 17:31:25 发布
阅读量866 收藏 5
点赞数 3
分类专栏: Java 云服务器从入门到上瘾 文章标签: java tomcat ssl spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22999067/article/details/109166045
版权

目录

一、Spring boot部署SSL证书

1、申请并下载SSL证书

我是阿里云的服务器,阿里云有免费的SSL证书可以申请,申请后下载Tomcat类别对应的证书。解压后获得.pfx文件和.txt文件,.txt内存放的是证书密码。
注意:不要下载jks格式的证书,原因后面会讲到

2、生成.jks文件

在命令行界面进入jdk安装目录,我的是C:\Program Files (x86)\Java\jdk1.8.0_192\bin,后续工作都在这个目录中进行。

cd C:\"Program Files (x86)"\Java\jdk1.8.0_192\bin
# 不加引号会报错:
# x86 : 无法将“x86”项识别为 cmdlet、函数、脚本文件或可运行程序的名称。请检查名称的拼写,如果包括路径,请确保路径正确,然后再试一次。

生成.jks文件

keytool -importkeystore -srckeystore pfx文件 -destkeystore 生成的.jks文件 -srcstoretype PKCS12 -deststoretype JKS
# 建议两个文件目录和名称用绝对路径表示,如:C:\Users\xxx\Desktop\cert.pfx  C:\Users\xxx\Desktop\cert.jks

生成时会让输入密码,也就是第一步.txt文件中的证书密码,然后需要输入.jks文件的密码,可以自己设定,不过建议使用和.pfx证书一样的密码。这里的密码输入和Ubuntu输sudo密码一样是隐式输入,输入并不显示输入信息,确认输完了回车就完事,如果是一样的密码就可以直接粘贴-回车三次,方便快捷(不是)。
完成后会显示已成功导入别名为 alias 的项目记住这里的别名
这个别名也正是花了了我半个多小时的怪坑

3、在项目中部署

将生成的.jks文件复制到application.properties的同级目录,然后在application.properties中进行相关配置:

#端口号 根据项目需求配置 默认https端口号是443 如果同时部署了nginx的SSL也使用了443端口就需要换个端口
server.port=443
#SSL证书路径
server.ssl.key-store=classpath:myssl.jks
#SSL证书密码
server.ssl.key-store-password=前面设置的jks证书密码
#证书类型
server.ssl.key-store-type=JKS
#证书别名 前面的别名
server.ssl.key-alias=alias

4、修改启动类,让http请求重定向到https(如果需要)

import org.apache.catalina.Context;
import org.apache.catalina.connector.Connector;
import org.apache.tomcat.util.descriptor.web.SecurityCollection;
import org.apache.tomcat.util.descriptor.web.SecurityConstraint;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.web.embedded.tomcat.TomcatServletWebServerFactory;
import org.springframework.context.annotation.Bean;

@SpringBootApplication
public class WebchatApplication  {

   public static void main(String[] args) {
      SpringApplication.run(WebchatApplication.class, args);
   }

   /**
    * http重定向到https
    * @return
    */
   @Bean
   public TomcatServletWebServerFactory servletContainer() {
      TomcatServletWebServerFactory tomcat = new TomcatServletWebServerFactory() {
         @Override
         protected void postProcessContext(Context context) {
            SecurityConstraint constraint = new SecurityConstraint();
            constraint.setUserConstraint("CONFIDENTIAL");
            SecurityCollection collection = new SecurityCollection();
            collection.addPattern("/*");
            constraint.addCollection(collection);
            context.addConstraint(constraint);
         }
      };
      tomcat.addAdditionalTomcatConnectors(httpConnector());
      return tomcat;
   }

   @Bean
   public Connector httpConnector() {
      Connector connector = new Connector("org.apache.coyote.http11.Http11NioProtocol");
      connector.setScheme("http");
      // Connector监听的http的端口号
      connector.setPort(8080);
      connector.setSecure(false);
      // 重定向的https的端口号,和前面application.properties中的设置需要一致
      connector.setRedirectPort(443);
      return connector;
   }
}

二、keytool相关

1、keytool

keytool 是一个Java 数据证书的管理工具,keytool 将密钥(key)和证书(certificates)存在一个称为keystore的文件中 在keystore里,包含两种数据:

  • 密钥实体(Key entity):密钥(secret key)又或者是私钥和配对公钥(采用非对称加密)
  • 可信任的证书实体(trusted certificate entries):只包含公钥

每个keystore都关联这一个独一无二的alias(别名),通常不区分大小写

2、keytool 常用命令

-genkey:在用户主目录中创建一个默认文件.keystore,还会产生一个mykey的别名,mykey中包含用户的公钥、私钥和证书。在没有指定生成位置的情况下,keystore会存在用户系统默认目录(不建议)
-alias:产生指定别名
-keystore指定密钥库的名称(产生的各类信息将不在.keystore文件中)
-keyalg:指定密钥的算法(如:RSA,DSA,如果不指定默认采用DSA)
-validity:指定创建的证书有效期多少天
-keysize:指定密钥长度
-storepass:指定密钥库的密码(获取keystore信息所需的密码)
-keypass:指定别名条目的密码(私钥的密码)
-dname:指定证书拥有者信息,例如:“CN=名字与姓氏,OU=组织单位名称,O=组织名称,L=城市或区域名称,ST=州或省份名称,C=单位的两字母国家代码”
-list:显示密钥库中的证书信息
-v:显示密钥库中的证书详细信息,keytool -list -v -keystore jks文件
-export:将别名指定的证书导出到文件
-file:参数指定导出到文件的文件名
-delete:删除密钥库中某条目,如:keytool -delete -alias 需删除的别名 -keystore 秘钥库名称 -storepass 密码
-printcert:查看导出的证书信息
-keypasswd:修改密钥库中指定条目口令,如:keytool -keypasswd -alias 需修改的别名 -keypass 旧密码 -new 新密码 -storepass keystore 密码 -keystore 名称
-storepasswd:修改keystore口令,如keytool -storepasswd -keystore e:/yushan.keystore(需修改口令的keystore) -storepass 123456(原始密码) -new yushan(新密码)
-import:将已签名数字证书导入密钥库,如:keytool -import -alias 指定导入条目的别名 -keystore 指定keystore -file 需导入的证书

下面是各选项的缺省值:
-alias mykey(我在使用时是alias
-keyalg DSA
-keysize 1024
-validity 90
-keystore 用户宿主目录中名为 .keystore 的文件
-file 读时为标准输入,写时为标准输出

3、遇到的坑

(1)为什么不要下载阿里云jks格式的证书

太长不看版:阿里云的jks秘钥库中有2个分别名为alias-keyalias-cert的条目,自己生成的jks秘钥库中只有1个名为alias的条目,阿里云的jks秘钥库无法直接使用alias别名在application.properties文件中进行配置
详情如下:使用keytool -list -v -keystore jks文件名分别查看自己生成的jks文件和阿里云下载的jks文件区别。

  • 首先是阿里云下载的jks文件
密钥库类型:jks
密钥库提供程序:IBMJCE
您的密钥库包含 2 个条目

别名:alias-key
创建日期:2020-xx-xx
条目类型:keyEntry
证书链长度:2
证书[1]:
所有者:CN=xxxxxx.top
颁发者:CN=Encryption Everywhere DV TLS CA - G1, OU=www.digicert.com, O=DigiCert Inc, C=US
序列号:xxxxxxx
有效期自:20-xx-xx 上午8:00 至:21-xx-xx 上午7:59
证书指纹:
         MD5:xxxx
         SHA1:xxxx
         SHA256:xxxx
         签名算法名称:xxxx
         版本:3
扩展:(省略)

证书[2]:
所有者:CN=Encryption Everywhere DV TLS CA - G1, OU=www.digicert.com, O=DigiCert Inc, C=US
颁发者:CN=DigiCert Global Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US
序列号:xxxxxxxxxx
有效期自:xx-xx-xx 下午8:xx 至:xx-xx-xx下午8:xx
证书指纹:
         MD5:xxxx
         SHA1:xxxx
         SHA256:xxxx
         签名算法名称:xxxx
         版本:3
扩展:
(省略)
*******************************************
*******************************************
别名:alias-cert
创建日期:2020-xx-xx
条目类型:trustedCertEntry
所有者:CN=xxxxxx.top
颁发者:CN=Encryption Everywhere DV TLS CA - G1, OU=www.digicert.com, O=DigiCert Inc, C=US
序列号:xxxxxxx
有效期自:20-xx-xx 上午8:00 至:21-xx-xx 上午7:59
证书指纹:
         MD5:xxxx
         SHA1:xxxx
         SHA256:xxxx
         签名算法名称:xxxx
         版本:3
扩展:(省略)
*******************************************
  • 然后是我自己生成的jks文件
密钥库类型:jks
密钥库提供程序:IBMJCE
您的密钥库包含 1 个条目

别名:alias
创建日期:2020-10-19
条目类型:keyEntry
证书链长度:2
证书[1]:
所有者:CN=xxxxxxxx.top
颁发者:CN=Encryption Everywhere DV TLS CA - G1, OU=www.digicert.com, O=DigiCert Inc, C=US
序列号:xxxxxxx
有效期自:20-xx-xx 上午8:00 至:21-xx-xx 上午7:59
证书指纹:
         MD5:xxxx
         SHA1:xxxx
         SHA256:xxxx
         签名算法名称:xxxx
         版本:3
扩展:(省略)
证书[2]:
所有者:CN=Encryption Everywhere DV TLS CA - G1, OU=www.digicert.com, O=DigiCert Inc, C=US
颁发者:CN=DigiCert Global Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US
序列号:xxxx
有效期自:17-11-27 下午8:46 至:27-11-27 下午8:46
证书指纹:
         MD5:xxxx
         SHA1:xxxx
         SHA256:xxxx
         签名算法名称:xxxx
         版本:3
扩展:(省略)
*******************************************

(2)Tomcat启动报错当前端口已被占用(实际没有被占用)

太长不看版如果使用http部署完全正常,很有可能是别名、证书密码、证书路径配置出错。 任意一个配置出错Spring boot均有可能在启动时报“tomcat当前端口已经被占用”的错误。

  • 有关别名不同jdk提供的keytool缺省别名可能不一样,所以生成文件时建议使用-alias进行配置,或者生成之后使用keytool -list -v -keystore jks文件名查看别名,使用正确的别名进行配置。

  • 有关证书密码:记住自己设置的密码,application.properties中配置的密码是生成的jks文件密码,与pfx文件密码无关,为了避免这个问题,建议使用相同密码。

  • 有关证书路径配置:jks证书建议放在application.properties同目录下,这样就可以直接classpath:jks文件名进行配置,否则容易路径配置出错。

参考

  1. spring boot 部署ssl证书
  2. Keytool命令详解
月明海沧
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
spring boot配置ssl实现HTTPS的方法
08-26
接下来,我们需要在 Spring Boot 项目中配置 SSL/TLS。我们可以在 application.properties 文件中添加以下配置: `server.port=8888` `server.tomcat.uri-encoding=utf-8` `server.servlet.context-path=/demo` `...
HTTPS原理(证书验证+数据传输)+SpringBoot配置https
usa_washington的博客
09-12 657
HTTPS协议
(附源码)springboot证书管理系统的设计与实现 毕业设计162317
Weixin_CXSJ881的博客
03-11 964
本设计主要实现集人性化、高效率、便捷等优点于一身的证书管理系统,完成用户管理、管理员、教师、证书信息、个人中心等功能模块。系统通过浏览器与服务器进行通信,实现数据的交互与变更。只需通过一台电脑,动动手指就可以操作系统,实现数据通信管理。整个系统的设计过程都充分考虑了数据的安全、稳定及可靠等问题,而且操作过程简单。本系统通过科学的管理方式、便捷的服务提高了工作效率,减少了数据存储上的错误和遗漏。
SpringBoot+Vue前后端分离,基于Nginx实现双向Https部署并实现数字证书登录
长春小汪汪的博客
01-04 2244
SpringBoot+Vue前后端分离,基于Nginx实现双向Https部署并实现数字证书登录背景概要说明Web应用的配置开启https增加登录接口Nginx配置总结 背景 最近公司要求将基于SpringBoot+Vue开发的Web应用进行双向Https部署,在此对本次部署进行了总结,本文章内容不对数字证书的生成以及单、双向Https等基本概念进行讲解。 概要说明 部署时,客户端到Nginx采用双向Https访问,客户端选择数字证书进行登录,由Nginx配置双向Https认证,Nginx可以自动解析数字证
SSL】openssl 提取 PKCS 证书库中的公钥、私钥、证书、密钥、CA证书
sayyy的专栏
11-02 3364
SpringBoot项目使用自签证书利用浏览器进行HTTPS接口的安全访问
weixin_45355769的博客
07-14 925
使用自签证书利用浏览器进行HTTPS接口的安全访问
详解spring boot配置 ssl
08-30
Spring Boot 配置 SSL 详解 在本篇文章中,我们将详细介绍如何在 Spring Boot 项目中配置 SSL,以实现安全的数据传输。SSL 协议位于 TCP/IP 协议与各种应用协议之间,为数据通信提供安全支持。 首先,SSL 协议分为...
spring-boot-sample-tomcat-ssl:演示 Spring Boot SSL 配置问题
06-29
2. **配置Spring Boot**:在Spring Boot的`application.properties`或`application.yml`中,你需要配置SSL相关的属性。例如,指定密钥库文件路径、密码以及别名: ```properties server.ssl.key-store=classpath:...
springboot工程验证SSL证书
01-30
2. **配置SSL证书**:在Spring Boot应用中,我们通常在`application.properties`或`application.yml`中配置SSL相关的属性。例如: ```properties server.port=8443 # 使用默认的HTTPS端口 server.ssl.key-store-...
http-->https后端Java接口spring boot项目配置文件及生成证书的方法.7z
12-24
2. **配置Spring Boot**:在Spring Boot的application.properties或application.yml文件中,我们需要配置HTTPS的相关参数,包括证书路径、密钥库类型、密码等。例如: ```properties server.port=8443 server.ssl...
SpringBoot配置SSL证书,开启HTTPS安全访问!!!
qq_43532069的博客
07-03 4388
ssl证书配置开启https安全访问!
springboot通过已有的server.key,crt,ca证书生成jks文件并开启HTTPS 并启动双向认证+动态加载信任库
qq_34239851的博客
11-17 2173
这里写目录标题一级目录二级目录三级目录 一级目录 二级目录 三级目录
SpringBoot -- 软件许可(License)证书生成+验证+应用完整流程
热门推荐
Appleyk的专栏
09-27 14万+
一、项目目录树结构 由于时间有限,不可能在博客上花太多时间、也不可能每一个细节都说的很细,所以,下面的内容虽然一时间看着比较懵,但是文末有项目的GitHub地址,或者不懂的可以留言; 这个是粗糙的项目结构,没有细分,实际应用的话应该是授权的代码要和验证的代码分开,防止授权的代码引进客户端系统中,被破解和拆穿,也为了防止公钥st...
springboot SSL双向验证原理及配置
qq_17236715的博客
07-30 2838
SSL层协议 SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。 SSL加密通道上的数据加解密使用对称密钥算法,目前主要支持的算法有D
微信扫码支付、网站接入微信支付-Java
码农笔录-微信公众号博客
05-02 5854
如果你的网站想接入微信支付,那么你的有个公众号(微信公众平台),然后开通支付功能,在微信商户平台操作。仔细看哦,这是两个平台,商家平台有详细的接入流程,这里只介绍程序方面。 1、准备 准备商家帐户 下载证书,重置密钥(密钥重置后请妥善保管) 内网穿透软件(微信支付成功后会有回调) 2、代码 加入依赖 微信支付比较麻烦,所以我们采用第三方封装的jar包 compile g...
数字证书中keytool命令使用说明
weixin_34010949的博客
09-15 301
这个命令一般在JDK\jre\lib\security\目录下操作 keytool常用命令 -alias       产生别名 -keystore    指定密钥库的名称(就像数据库一样的证书库,可以有很多个证书,cacerts这个文件是jre自带的,              你也可以使用其它文件名字,如果没有这个文件名字,它会创建这样一个) -storepass   指定密钥库的密码 -key...
Java引用微信支付的p12证书文件运行报错解决方案
netuser1937的博客
11-07 3524
Java引用微信支付的p12证书文件运行报错解决方案
SpringBoot 实战:spring-cloud-config 非对称加密 keystore 文件加载异常
沉潜飞动
10-12 1万+
因为配置内容可能涉及到某些敏感信息,所以可以简单的在Spring Cloud Config中使用非对称加密实现敏感信息的安全存储。但是在使用过程中,却碰到一些奇葩的问题,无论是官方文档还是一些大神的博文,都没有明确解决。当然,这个问题的出现与我的配置有关,很多人可能并没有碰到。这里把问题描述下,万一有人和我一样配置,也出现问题,就可以帮助别人节省点时间了。
springbootssl证书
最新发布
04-10
Spring Boot中配置SSL证书可以实现通过HTTPS协议进行安全通信。 要配置SSL证书,首先需要生成一个证书文件。可以使用Javakeytool工具生成自签名证书,或者购买一个由可信任的证书颁发机构(CA)签名的证书。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值