申请 SSL 证书
前提
- 我申请的是腾讯云的 SSL 证书。
- 如果你要申请 SSL 证书,需要有一个已经备案过的域名
步骤
-
登录进腾讯云,在产品中找到 SSL 证书这一项,点击进去
点击立即购买
我使用的域名型免费版,如果你有其他的需求,也可以选择其他的选项,点击快速免费申请
填写基本的信息,通用名称就写证书绑定的域名,填写自己的邮箱,备注名可以随便填,私钥密码可以不填写,所属项目选默认,进入下一步
到身份验证时,选择手动 DNS 验证,点击确认。注:若你的域名和服务器已经关联起来了,则选择自动就行
点击查看证书详情,进入下一个页面
在这一步,需要 DNS 验证,添加解析记录,具体的步骤在操作指引中已经详细写出。简略来说就是通过解析制定的 DNS 记录来验证域名所有权,操作指引中使用的是腾讯云云解析平台,首先添加您的域名,首先增加一条记录指向你的服务器进行绑定,即那条类型为A的记录。其次,添加给出的 DNS 记录。均添加成功后,需要回到证书详情页面,点击自助诊断,若成功则等待系统给你颁发 SSL 证书即可。
在 Spring Boot 项目中使用 https
前提
建立一个 Spring Boot 项目
已经完成了上一步
步骤
- 在腾讯云中的证书列表,下载颁发给你的证书
- 下载并解压后内容如下图
- 我们可以使用 p12 和 jks 两种格式的证书来实现使用 https 的目的,下面分别进行介绍
jks
把刚刚下载的文件中的 Tomcat 文件夹中的jks文件复制到 spring boot 项目中的 src/main/resources/ 目录下,和 application.properties 平级
并且在 application.properties 中配置如下命令
server.port: 8092
server.ssl.key-store= classpath:server.jks
server.ssl.key-store-password=你的密码
server.ssl.keyStoreType = JKS
key-store: 生成的证书文件的存储路径,其中 server.jks 需要改为你刚刚复制进来的jks文件名
key-store-password: 指定签名的密码,打开下载文件中 Tomcat 文件夹中的 txt 文件,即为此处填写的密码
keyStoreType:为制定秘钥仓库的类型,这里我们需要填写为 JKS
p12
打开你的远程服务端,新建一个文件夹,并且把刚刚下载的文件中的 Nginx 文件夹中的 crt 文件和 key 文件复制到此文件夹中
输出命令
openssl pkcs12 -export -clcerts -in yourDomain.crt -inkey myPrivateKey.key -out server.p12
yourDomain.crt 替换为你的 crt 文件
myPrivateKey.key 替换为你的 key 文件
在此过程中需要让你输入密码,记住这个密码,后面会用到
执行此命令,生成了我们需要的 p12 文件,将其复制到 spring boot 项目中的 src/main/resources/ 目录下,和 application.properties 平级
并且在 application.properties 中配置如下命令
server.port: 8092
server.ssl.key-store: classpath:server.p12
server.ssl.key-store-password: 刚刚设置的密码
server.ssl.keyStoreType: PKCS12
server.ssl.keyAlias:
key-store: 生成的证书文件的存储路径,其中 server.p12 需要改为你生成的 p12 文件的名字
key-store-password: 指定签名的密码,要设置成刚刚你设置的密码
keyStoreType:为制定秘钥仓库的类型,这里我们需要填写为 PKCS12
keyAlias: 为别名
注:如果不知道别名,可以在服务器中输入
keytool -list -keystore server.p12
会显示:
这个1即为别名
验证
至此,所有的基本步骤就完成了
可以写一个基本的 helloworld 来进行验证,将项目打包运行,可以看到已经可以在 Spring Boot 项目中使用 https 了
扩展:同时只用 http 并将 http 自动转向 https
此段摘录自江南一点雨的专栏
在入口类中添加相应的转向Bean,代码如下:
@Bean public EmbeddedServletContainerFactory servletContainer() { TomcatEmbeddedServletContainerFactory tomcat = new TomcatEmbeddedServletContainerFactory() { @Override protected void postProcessContext(Context context) { SecurityConstraint constraint = new SecurityConstraint(); constraint.setUserConstraint("CONFIDENTIAL"); SecurityCollection collection = new SecurityCollection(); collection.addPattern("/*"); constraint.addCollection(collection); context.addConstraint(constraint); } }; tomcat.addAdditionalTomcatConnectors(httpConnector()); return tomcat; }
<span class="token annotation punctuation">@Bean</span> <span class="token keyword">public</span> <span class="token class-name">Connector</span> <span class="token function">httpConnector</span><span class="token punctuation">(</span><span class="token punctuation">)</span> <span class="token punctuation">{</span> <span class="token class-name">Connector</span> connector <span class="token operator">=</span> <span class="token keyword">new</span> <span class="token class-name">Connector</span><span class="token punctuation">(</span><span class="token string">"org.apache.coyote.http11.Http11NioProtocol"</span><span class="token punctuation">)</span><span class="token punctuation">;</span> connector<span class="token punctuation">.</span><span class="token function">setScheme</span><span class="token punctuation">(</span><span class="token string">"http"</span><span class="token punctuation">)</span><span class="token punctuation">;</span> <span class="token comment">//Connector监听的http的端口号</span> connector<span class="token punctuation">.</span><span class="token function">setPort</span><span class="token punctuation">(</span><span class="token number">8080</span><span class="token punctuation">)</span><span class="token punctuation">;</span> connector<span class="token punctuation">.</span><span class="token function">setSecure</span><span class="token punctuation">(</span><span class="token boolean">false</span><span class="token punctuation">)</span><span class="token punctuation">;</span> <span class="token operator">/</span><span class="token operator">/</span>监听到http的端口号后转向到的https的端口号 connector<span class="token punctuation">.</span><span class="token function">setRedirectPort</span><span class="token punctuation">(</span><span class="token number">8092</span><span class="token punctuation">)</span><span class="token punctuation">;</span> <span class="token keyword">return</span> connector<span class="token punctuation">;</span> <span class="token punctuation">}</span>
- 通过这段配置,访问
http://localhost:8080
的时候系统会自动重定向到https://localhost:8092
这个地址上。
在 Nginx 上配置证书
Nginx 证书部署在腾讯云中有官方教程
教程中描述的很详细,下面说一下我在操作过程中踩过的一些坑
-
无法将 crt 和 key 文件利用 FileZilla 软件直接传输到 etc/nginx 文件中去
- 可以先复制到其他文件夹中,再在服务器内部复制到 etc/nginx 中去
-
在利用
bin/nginx –t
来测试时,会报错nginx: [emerg] "user" directive is not allowed here in /etc/nginx/conf.d/nginx.conf:1
- 可能是因为在 nginx 目录下有不止一份 nginx 的配置文件所以产生了冲突,删除多余的那一份就行。
结果
当配置完成后,输入对应的地址,当出现如下界面则配置成功。
扩展:如何将springboot项目和nginx代理联合起来
前提
- 完成了上述的springboot项目的配置和nginx代理的配置
步骤
- 在刚刚配置的nginx.conf文件中添加一些配置信息,如下:
server {
listen 443;
server_name #填写绑定证书的域名;
ssl on;
ssl_certificate #填写你的证书.crt;
ssl_certificate_key #填写你的证书.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照这个协议配置
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#按照这个套件配置
ssl_prefer_server_ciphers on;
location / {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $http_host;
proxy_set_header X-NginX-Proxy true;
proxy_pass http://服务器地址:端口号/;#这里填写你的端口号,要和在springboot项目中配置的端口号一致,若是在本机操作,则服务器地址可以填0.0.0.0或者127.0.0.1
proxy_redirect off;
}
}
- 在springboot当中实现一个简单的helloworld程序
@RestController
public class helloController {
@RequestMapping("hello")
public String hello(){
return "hello world!";
}
}
- 启动项目