Spring-Data-Redis 和 Redisson TLS加密 连接

已于 2023-03-20 17:15:46 修改
阅读量2.3k 收藏 4
点赞数 1
分类专栏: Redis 安全 文章标签: redis ssl redission tls redisTemplate Powered by 金山文档
于 2023-03-18 22:36:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012134942/article/details/129643812
版权

先决条件

已经部署好redis服务端 tls环境。如未部署好,可参考:Redis 6.0 Docker容器使用TLS加密

已知redis服务端 tls环境使用的证书:

其中:

ca.crt : CA根证书,用于验证证书是否合法

ca.key: CA根证书私钥

redis.crt: ca.crt根证书签发的证书

redis.key:ca.crt根证书签发的证书私钥

证书处理

生成证书p12文件,.p12证书可能既包含公钥也包含私钥,方便统一管理。我们这里redis服务端和redis客户端使用的是同一份证书(redis.crt)。

openssl pkcs12 -export -in redis.crt -certfile ca.crt -inkey redis.key -out certificate_for_red.p12

记住输入的密码,后面解析证书时要用到。

注意:因为redis tls默认开启双向认证,所以客户端连接也需要提供证书,且是同一根证书(ca.crt)签发。

将certificate_for_red.p12拷贝到src/main/resources 目录下

Spring-Data-Redis TLS连接

基于Spring-Data-Redis2.5.5

@Configuration
public class SSLJedisConnectionFactory extends JedisConnectionFactory {

    @Value("${spring.redis.host}")
    private String host;

    @Value("${spring.redis.port}")
    private String port;

    @Value("${spring.redis.password}")
    private String password;

    @Value("${spring.redis.ssl}")
    private Boolean sslEnable;
    // 为创建.p12文件时输入的密码
    @Value("${spring.redis.keyStorePassword}")
    private String keyStorePassword;

    /**
     * 重写createRedisPool方法,让其使用SslSocketFactory创建连接池
     *
     * @return
     */
    protected Pool<Jedis> createRedisPool() {

        SSLSocketFactory sslSocketFactory=null;
        if (sslEnable) {
            InputStream fileStream = getClass().getClassLoader().getResourceAsStream("certificate_for_red.p12");
            Optional<SSLSocketFactory> sslSocketFactoryOptional = SSLUtil.getSslSocketFactory(fileStream, keyStorePassword);
            sslSocketFactory = sslSocketFactoryOptional
                    .orElseThrow(() -> new RuntimeException("Can't create SSLSocketFactory"));
        }
        GenericObjectPoolConfig genericObjectPoolConfig = new GenericObjectPoolConfig();
        //with ssl config jedis pool
        JedisPool pool = new JedisPool(
                genericObjectPoolConfig,
                host,
                Integer.parseInt(port),
                2000,
                password,
                sslEnable,
                sslSocketFactory,
                new SSLParameters(),
                null);
        return pool;
    }

/**
     * create SslSocketFactory
     * @param fileStream
     * @param password
     * @return
     */
    private static Optional<SSLSocketFactory> getSslSocketFactory(InputStream fileStream, String password) {
        try {
            KeyStore clientStore = KeyStore.getInstance("PKCS12");
            clientStore.load(fileStream, password.toCharArray());

            SSLContext sslContext = SSLContext.getInstance("TLS");
            KeyManagerFactory factory = KeyManagerFactory.getInstance("SunX509");
            factory.init(clientStore, password.toCharArray());
            sslContext.init(factory.getKeyManagers(), new TrustManager[]{new MockTrustManager()}, new SecureRandom());

            SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();
            return Optional.of(sslSocketFactory);

        } catch (UnrecoverableKeyException | CertificateException | KeyStoreException | IOException
                | NoSuchAlgorithmException | KeyManagementException ex) {
            return Optional.empty();
        }
    }

}
public class MockTrustManager implements X509TrustManager {

    public MockTrustManager() {
    }

    public void checkClientTrusted(X509Certificate[] arg0, String arg1) {
    }

    public void checkServerTrusted(X509Certificate[] arg0, String arg1)  {
    }

    public X509Certificate[] getAcceptedIssuers() {
        return null;
    }
}

Redisson 连接

在Pom.xml引入

<dependency>
    <groupId>org.redisson</groupId>
    <artifactId>redisson</artifactId>
    <version>3.20.0</version>
</dependency>
@Configuration
public class RedissonConfig {

    @Value("${spring.redis.host}")
    private String host;

    @Value("${spring.redis.port}")
    private String port;

    @Value("${spring.redis.password}")
    private String password;
    // 为创建.p12文件时输入的密码
    @Value("${spring.redis.keyStorePassword}")
    private String keyStorePassword;

    @Value("${spring.redis.ssl}")
    private Boolean sslEnable;

    @Bean
    public RedissonClient getRedisson() {
        Config config = new Config();
        if (sslEnable) {
            ClassLoader classLoader = getClass().getClassLoader();
            URL keyStoreUrl = classLoader.getResource("certificate_for_red.p12");

            config.useSingleServer().setSslProvider(SslProvider.OPENSSL).setSslKeystore(keyStoreUrl).
                    setSslKeystorePassword(keyStorePassword).
                    //不校验域名 Unverified domain name
                            setSslEnableEndpointIdentification(false).
                    setAddress("rediss://" + host + ":" + port).setPassword(password);
        }else {
            // non-SSL
            config.useSingleServer().setAddress("redis://" + host + ":" + port).setPassword(password);
        }

        return Redisson.create(config);
    }

}

异常No subject alternative names present

17:05:07.187 siteServer [redisson-netty-2-4] ERROR o.r.c.handler.ErrorsLoggingHandler - Exception occured. Channel: [id: 0x85cfe859, L:0.0.0.0/0.0.0.0:49234 ! R:192.169.1.101/192.169.1.101:6379]
io.netty.handler.codec.DecoderException: javax.net.ssl.SSLHandshakeException: General OpenSslEngine problem
    at io.netty.handler.codec.ByteToMessageDecoder.callDecode(ByteToMessageDecoder.java:477)
    at io.netty.handler.codec.ByteToMessageDecoder.channelRead(ByteToMessageDecoder.java:276)
    at io.netty.channel.AbstractChannelHandlerContext.invokeChannelRead(AbstractChannelHandlerContext.java:379)
    at io.netty.channel.AbstractChannelHandlerContext.invokeChannelRead(AbstractChannelHandlerContext.java:365)
    at io.netty.channel.AbstractChannelHandlerContext.fireChannelRead(AbstractChannelHandlerContext.java:357)
    at io.netty.channel.DefaultChannelPipeline$HeadContext.channelRead(DefaultChannelPipeline.java:1410)
    at io.netty.channel.AbstractChannelHandlerContext.invokeChannelRead(AbstractChannelHandlerContext.java:379)
    at io.netty.channel.AbstractChannelHandlerContext.invokeChannelRead(AbstractChannelHandlerContext.java:365)
    at io.netty.channel.DefaultChannelPipeline.fireChannelRead(DefaultChannelPipeline.java:919)
    at io.netty.channel.nio.AbstractNioByteChannel$NioByteUnsafe.read(AbstractNioByteChannel.java:166)
    at io.netty.channel.nio.NioEventLoop.processSelectedKey(NioEventLoop.java:719)
    at io.netty.channel.nio.NioEventLoop.processSelectedKeysOptimized(NioEventLoop.java:655)
    at io.netty.channel.nio.NioEventLoop.processSelectedKeys(NioEventLoop.java:581)
    at io.netty.channel.nio.NioEventLoop.run(NioEventLoop.java:493)
    at io.netty.util.concurrent.SingleThreadEventExecutor$4.run(SingleThreadEventExecutor.java:986)
    at io.netty.util.internal.ThreadExecutorMap$2.run(ThreadExecutorMap.java:74)
    at io.netty.util.concurrent.FastThreadLocalRunnable.run(FastThreadLocalRunnable.java:30)
    at java.lang.Thread.run(Thread.java:748)
Caused by: javax.net.ssl.SSLHandshakeException: General OpenSslEngine problem
    at io.netty.handler.ssl.ReferenceCountedOpenSslEngine.handshakeException(ReferenceCountedOpenSslEngine.java:1892)
    at io.netty.handler.ssl.ReferenceCountedOpenSslEngine.wrap(ReferenceCountedOpenSslEngine.java:813)
    at javax.net.ssl.SSLEngine.wrap(SSLEngine.java:509)
    at io.netty.handler.ssl.SslHandler.wrap(SslHandler.java:1040)
    at io.netty.handler.ssl.SslHandler.wrapNonAppData(SslHandler.java:926)
    at io.netty.handler.ssl.SslHandler.unwrap(SslHandler.java:1408)
    at io.netty.handler.ssl.SslHandler.decodeJdkCompatible(SslHandler.java:1235)
    at io.netty.handler.ssl.SslHandler.decode(SslHandler.java:1284)
    at io.netty.handler.codec.ByteToMessageDecoder.decodeRemovalReentryProtection(ByteToMessageDecoder.java:507)
    at io.netty.handler.codec.ByteToMessageDecoder.callDecode(ByteToMessageDecoder.java:446)
    ... 17 common frames omitted
Caused by: java.security.cert.CertificateException: No subject alternative names present
    at sun.security.util.HostnameChecker.matchIP(HostnameChecker.java:145)
    at sun.security.util.HostnameChecker.match(HostnameChecker.java:94)
    at sun.security.ssl.X509TrustManagerImpl.checkIdentity(X509TrustManagerImpl.java:455)
    at sun.security.ssl.X509TrustManagerImpl.checkIdentity(X509TrustManagerImpl.java:436)
    at sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:252)
    at sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:136)
    at io.netty.handler.ssl.ReferenceCountedOpenSslClientContext$ExtendedTrustManagerVerifyCallback.verify(ReferenceCountedOpenSslClientContext.java:234)
    at io.netty.handler.ssl.ReferenceCountedOpenSslContext$AbstractCertificateVerifier.verify(ReferenceCountedOpenSslContext.java:748)
    at io.netty.internal.tcnative.CertificateVerifierTask.runTask(CertificateVerifierTask.java:36)
    at io.netty.internal.tcnative.SSLTask.run(SSLTask.java:48)
    at io.netty.internal.tcnative.SSLTask.run(SSLTask.java:42)
    at io.netty.handler.ssl.ReferenceCountedOpenSslEngine$TaskDecorator.run(ReferenceCountedOpenSslEngine.java:1455)
    at io.netty.handler.ssl.SslHandler.runDelegatedTasks(SslHandler.java:1548)
    at io.netty.handler.ssl.SslHandler.unwrap(SslHandler.java:1394)

出现这个问题是因为我们自签的证书,没有设置域名。因此不是本地访问时,校验不通过。

设置不校验域名就可以:setSslEnableEndpointIdentification(false)

 config.useSingleServer().
                    //不校验域名 Unverified domain name
                     setSslEnableEndpointIdentification(false)

MK 乘风破浪~
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot通过ssl连接redis
sgzsgzsgz的博客
03-12 5775
springboot通过ssl连接redis 1:先确认工程使用的是否是spring提供的RedisTemplate,该文章是基于org.springframework.data.redis.core.RedisTemplate来讲解的 2:先安把redis升级为通过ssl连接 引用文本 参考:https://blog.csdn.net/Exception_sir/article/details/122047071 #解压 tar -zxvf redis-6.2.6.tar.gz -C /opt #进入/
redesocial:向上模式
07-20
Java提供了SSL/TLS加密机制,Spring Security可实现用户认证和授权,防止SQL注入和XSS攻击。 9. **负载均衡与高可用**:使用Nginx或Apache做反向代理,实现负载均衡,提高系统可用性。配合Docker和Kubernetes进行...
Springboot关闭redis SSL证书校验
sinat_34067387的博客
05-06 1340
redis开启了TLS/SSL后, Springboot项目需要进行修改, 可以配置证书进行校验, 也可以直接关闭校验,。直接关闭校验比较简单,配置文件也不需要修改。
Redis学习篇2:RedisSpring中的应用
最新发布
jialuosi的博客
05-20 766
本文继上文开始讲述了Redis在IDEA中如何应用以及集成进入spring开发环境,以及如何使用Redis客户端。
Spring Boot组件提供的全部配置属性(包括redis配置)
fenlin88l的博客
04-25 1183
Spring Boot组件提供的全部配置属性 @ConfigurationProperties注解如何暴露配置在代码外部的属性。 可以在自己创建的组件上使用@ConfigurationProperties注解,而Spring Boot自动配置的 很多组件也添加了@ConfigurationProperties注解,可以通过Spring Boot支持的各种属性源对其进行配置。 如,要指定内嵌...
Spring Redis 启用TLS配置支持(踩坑&解决)
Tecc
05-09 3046
Spring Redis TLS 配置
springboot-集成Redis总结
帅哥趣谈
12-11 756
一、背景 最近在写springboot系列相关的东西,Redis在目前的互联网开发中几乎是一个绕不过的话题,目前在做的管理系统也用的到。之前的用法是一切都自己封装,spring只发挥容器的作用就好了,随着spring全家桶技术的日渐完善以及目前大众的使用习惯,之前的写法感觉有点跟不上时代,有时还会被菜鸟嘲笑。但是性能这块是否能扛得住这块以后再说。今天带大家一起看看如何集成,并对基本使用习惯做一个说明。 二、操作步骤 1.jar依赖导入 <!--springboot对Red
springboot如何使用ssl方式远程连接redis
weixin_42600407的博客
01-08 1528
Spring Boot 中使用 SSL 连接 Redis 的步骤如下: 在项目的 resources 目录下创建一个 application.properties 文件, 并在其中配置 Redis连接信息: spring.redis.host=redis.example.com spring.redis.port=6379 spring.redis.ssl=true spring.re...
最强分布式锁工具:Redisson
码猿技术专栏
08-04 310
大家好,我是不才陈某~今天来聊聊分布式锁的最强实现:Redisson从分布式锁到Redisson实现非常详细,适合慢慢咀嚼~1. Redisson概述什么是RedissonRedisson是一个在Redis的基础上实现的Java驻内存数据网格(In-Memory Data Grid)。它不仅提供了一系列的分布式的Java常用对象,还提供了许多分布式服务。Redisson...
springboot整合redis
热门推荐
lwj_07的博客
08-10 4万+
创建springboot整合redis工程: 首先我们要知道什么是redis: 三个步骤:补充:RedisTemplate对象提供了各种往redis数据库中存储数据的类型: 代码演示如下所示:注意:下面所有的步骤,要保证Redis数据库是开启的状态,要不然肯定连接不上Redis数据库 第一步: 第二步: 第三步: 又因为我们知道Redis数据库支持多种格式的存储数据形式,因此还可以往Redis数据库中存储哈希类型的数据(哈希类型:就类似于一个key里面又放入一个key,value),因此Redis
如何通过SSL连接到Java上的Redis
weixin_33973600的博客
03-06 2691
Redis是一个开源的内存数据结构存储,是构建NoSQL数据库最受欢迎的选择之一。但是,使用Redis的一个主要障碍是它没有任何自己的加密功能。 当然,任何企业级数据库都必须能够保证其中存储的信息的安全性。如果不受信任方可以访问您的数据库,则需要开发自己的加密功能,在加密协议中包含数据。 SSL(安全套接字层)是在不同服务器或计算机之间传...
2023最新互联网大厂Java面试题大全(附答案)
06-29
3. **Nginx**:作为高性能的反向代理服务器和负载均衡器,Nginx在面试中常常涉及反向代理、负载均衡策略、缓存管理、URL重写和SSL/TLS加密等知识点。 4. **设计模式**:设计模式是软件工程中的最佳实践,面试中可能...
mall大型商城源代码.rar
12-24
同时,为了保证交易安全,会使用SSL/TLS加密通信,以及对敏感信息如银行卡号进行加密存储。 5. **物流追踪**:与物流公司的API对接,获取并更新订单的配送状态。这部分可能涉及到RESTful API的设计和调用,以及状态...
银行账户创建
02-15
6. **安全性**:银行系统必须考虑安全性,包括身份验证(如OAuth2.0)、授权(RBAC,Role-Based Access Control)、数据加密(如AES,SSL/TLS)和防止SQL注入、XSS攻击等。 7. **事务管理**:在银行账户创建过程中...
ecommerce
03-28
这通常涉及到SSL/TLS加密和OAuth等安全协议。 6. **购物车与结算**:Java实现的购物车功能需要管理用户添加的商品、计算总价、处理优惠券等。结算过程涉及地址管理、选择配送方式、生成订单等,这些都需要复杂的...
Springboot项目配置Elasticsearch,设置账号密码后报javax.net.ssl.SSLHandshakeException: General SSLEngine problem
htx845928748的博客
07-28 6397
ES 报错:javax.net.ssl.SSLHandshakeException: General SSLEngine problem
Redisson配置方式
qq_43592651的博客
08-12 730
Redisson的配置方式
Redisson程序化的配置方法
深圳市多克创新科技有限公司
10-05 1359
Redisson程序化的配置方法
Linux,Redis中IOException: 远程主机强迫关闭了一个现有的连接。解决方法
一火的专栏
08-09 4989
[ERROR] Exception occured. Channel: [id: 0x60dbc204, L:/192.168.0.107:64658 - R:104.115.158.104/104.115.158.104:6379] - 2022-08-09 22:25:28,352 [redisson-netty-2-7] org.redisson.client.handler.CommandsQueue(exceptionCaught,153) java.io.IOException: 远程主机强迫
为什么引入的spring-data-redisspring-boot-starter-data-redis不一致
06-03
其中,`spring-boot-starter-data-redis`是Spring Boot中对`spring-data-redis`的封装和集成,它包含了`spring-data-redis`以及其他一些必要的依赖项,以便于快速启动和配置Redis连接池等信息。 虽然`spring-boot-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值