SpringBoot的SSL个人CA签发二级证书(动态添加客户端证书)

最新推荐文章于 2024-06-15 20:50:38 发布
最新推荐文章于 2024-06-15 20:50:38 发布
阅读量7.3k 收藏 7
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41917987/article/details/80988592
版权

当我们的服务端部署完成运行起来之后,trustStore信任库已经建立,受信任的客户端证书已经确定下来,如果我们想再添加一个受信任的客户端证书,又不想停掉服务端,这时就可以使用个人CA根证书签发二级证书的方法。当然官方CA更好,但是相比个人CA官方CA不太方便。

其实还有一个方法实现动态添加服务端信任的客户端证书,就是用代码实现trustStore信任库热加载,网上也有相关的文章,但是相比签发二级证书的方式,性能低很多,也麻烦很多。因为每次服务端的认证都会触发服务端扫描trustStore信任库,判断当前访问的客户端是否在信任库内。

本实例假设SSL的单向认证已经建立,已经有了一个server.key.p12服务端keystore。

单向认证可查看连接: https://blog.csdn.net/weixin_41917987/article/details/80987835

本人遇到坑得到的结论,如果你对相关概念不是很明确,可以看一下本人写的上一篇文章开头:https://blog.csdn.net/weixin_41917987/article/details/80988197

1、创建个人CA根证书,用于给需要新添加的客户端证书签名。

    keytool -genkey -v -alias ca -keyalg RSA -storetype PKCS12 -keystore E:\7\ca.key.p12

                

2、将CA根证书导入到服务端的信任库中,本例keyStore和trustStore使用的是一个库,当然也可以使用不同库。

         a)导出CA根证书的公钥文件

            keytool -keystore E:\7\ca.key.p12-export -alias ca -file E:\7\ca.cer

         b)将cer文件导入到trustStore信任库中

            keytool -import -v -file E:\7\ca.cer-keystore E:\7\server.key.p12

3、创建客户端证书

    keytool -genkey -v -alias qq-keyalg RSA -storetype PKCS12 -keystore E:\7\qq.key.p12

             

4、使用个人CA根证书给客户端证书签名,因为我们不会将新建的客户端证书导入到服务端的信任库中,但是我们又想让服务端信任新建的客户端证书,那么使用服务端已经信任的CA根证书给新建的客户端证书签名,就可以了。

         a)生成签名请求,生成的是一个CSR文件

            keytool -certreq -alias qq -keystore E:\7\qq.key.p12-file E:\7\qq.csr -v

             

         b)使用CA根证书给客户端证书签名,得到的cer文件就是签名后的公钥证书

           keytool-keystore E:\7\ca.key.p12 -gencert -alias ca -infile E:\7\qq.csr -outfile E:\7\qq.cer

         c)将签名后的cer文件导入到qq.key.p12文件中,因为qq.key.p12是客户端证书,需要安装在客户端,但是

qq.key.p12中的公钥文件还是qq签发的,并没有被修改,需要我们将cer文件导回,将原来的公钥替换掉才可以。

           keytool -import -v -file E:\7\qq.cer -keystoreE:\7\qq.key.p12

d) 查看被签名后的证书详情,扩展里边证书的发布者已经修改为ca

            keytool -list -v -keystore E:\7\qq.key.p12 -storepass qqqq123

            

5、双击qq.key.p12文件安装新建的客户端证书,安装到个人证书,前面安装过程已有,不再赘述。

6、在springboot的helloworld项目中的application.properties配置文件中配置以下信息,同时将刚生成的server.key.p12文件放到resources目录下,启动项目

 server.port=8080
 server.ssl.key-store=classpath:server.key.p12
 server.ssl.key-store-password=dzm123
 server.ssl.key-alias=server
 server.ssl.keyStoreType=JKS

 server.ssl.trust-store=classpath:server.key.p12
 server.ssl.trust-store-password=dzm123
 server.ssl.client-auth=need
 server.ssl.trust-store-type=JKS
 server.ssl.trust-store-provider=SUN
可以看到,我们没有将qq.key.p12文件添加到trustStore信任库中,但是qq的证书已经受服务端信任,因为给qq签名的CA根证书已经受trustStore信任。


        

得谷养人
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
SpringBoot RestTemplate使用自签名ssl证书,信任自定义的服务器ca证书
hrt的博客
04-03 6562
本文在SpringBoot RestTemplate的基础上,介绍如何设置自定义的https客户端证书和把信任的服务器ca证书加到spring框架的证书信任管理器中。最近的工作中,遇到第三方服务的https不使用ca机构提供的证书,而是使用自定义的证书,同时客户端也要提供证书给服务器验证,如果只是简单地使用RestTemplate访问这些第三方服务,会有400 HTTPStatus错误。 目录...
springboot下配置SSL证书HTTPS访问
07-17
springboot下配置SSL证书HTTPS访问,简单快捷通俗易通,
spring boot配置ssl证书,支持https访问
最新发布
qq_41504815的博客
06-15 290
8. 前端通过 https://xxx.com:8443/xxx 来访问,http形式访问80端口。5. 下载好了之后,压缩包里包含证书和一个密码文件。将证书放到项目resource目录下。4. 证书签发以后,点击下载证书,spring boot选tomcat服务器类型的。1. 阿里云官网下载证书,云控制台搜索ssl,点击进入。3. 点击创建证书,填写完证书申请后,等待证书签发。6. 在application.yml文件进行配置。2.点击免费证书,立即购买。
springboot配置证书
shyrainxy的专栏
10-09 1460
java证书分为两种,一种是jks编码的,一种是pkcs编码的
自制Https证书并在Spring Boot和Nginx中使用
diaoxi4950的博客
11-09 137
白话Https一文中, 介绍了Https存在的目的和工作原理,但多是偏向于原理性的介绍,本文介绍如何一步一步自制一个能够通过浏览器认证的Https证书,并讲解在Spring Boot环境和Nginx环境中服务器端的配置。 如果你还没有读过白话Https,我强烈建议你先去读一下。按照白话Https中的介绍,Https协议涉及到的主体主要有三个:客户端、服务端、以及CA机构。如下图所示: ...
spring-boot https证书双向认证配置
杨小熊学习笔记
03-12 1748
spring-boot https证书双向认证配置
Springboot Https 自建证书 搞起来 类似12306
weixin_34220834的博客
09-14 76
2019独角兽企业重金招聘Python工程师标准>>> ...
基于springboot的Netty的SSL加密PKI认证通信
04-01
采用springboot的基于Netty的SSL加密PKI认证通信,里面模拟了Netty的客户端和服务端的证书认证规则,同时分为单向认证和双向认证,信任证书链并对RA颁发的证书来进行验签,实现了双向和单向加密通信,保障了数据的...
阿里云跨账号申请ssl证书签发
06-30
阿里云跨账号申请ssl证书签发-详细笔记总结
数字证书实战经验-Openssl自建CA中心及签发证书
10-24
2. 创建根CA证书:使用`openssl req`命令,根据`root-ca.cnf`配置文件生成证书签名请求(CSR),然后自签发此请求以创建根CA证书。 3. 生成中间CA私钥和CSR:类似地,为中间CA生成私钥和CSR。 4. 由根CA签发中间CA...
ssl服务器证书(包含ca证书和服务器证书客户端证书
05-19
总的来说,SSL服务器证书CA证书客户端证书共同构建了互联网上的安全通信环境。服务器证书确保了服务器的身份,CA证书提供了信任机制,而客户端证书则在需要时增加了对用户身份的验证。理解和正确配置这些证书...
SpringbootSSL双向认证
weixin_41917987的博客
07-10 2万+
单项认证和双向认证区别(转载):https://blog.csdn.net/ons_cukuyo/article/details/79171418注意事项:    在看完上边单双向认证过程的区别之后,会发现在认证过程中,有公钥和私钥的概念,而何时谁应该持有谁的公钥或者私钥呢?1、如果客户端想验证服务端证书客户端需要安装服务端的公钥文件(cer)(或者服务端证书是官方CA颁发的,客户端可以直接联网...
SpringBoot -- 软件许可(License)证书生成+验证+应用完整流程
热门推荐
Appleyk的专栏
09-27 14万+
一、项目目录树结构 由于时间有限,不可能在博客上花太多时间、也不可能每一个细节都说的很细,所以,下面的内容虽然一时间看着比较懵,但是文末有项目的GitHub地址,或者不懂的可以留言; 这个是粗糙的项目结构,没有细分,实际应用的话应该是授权的代码要和验证的代码分开,防止授权的代码引进客户端系统中,被破解和拆穿,也为了防止公钥st...
SSL双向认证-SpringBoot项目
localhost
09-14 587
1.将server.p12证书和client.jks证书复制到项目resources目录下。SSL双向认证需要CA证书,开发过程可以利用自签CA证书进行调试验证。3.利用apifox/postman或浏览器测试双向认证。这里不勾选SSL证书验证(自签证书无法通过验证)2.修改配置文件,增加下述内容。保存配置,启动项目。
CA认证
weixin_44366330的博客
01-18 595
----以下在CA服务器端配置—IP:80.110 1、 确认安装了openssl软件 rpm -qa | grep openssl openssl-devel-1.0.1e-15.el6.x86_64 openssl-1.0.1e-15.el6.x86_64 vi /etc/pki/tls/openssl.cnf :openssl服务的配置文件 [ CA_def...
SpringBoot 配置单向和双向认证
一个95后开发者,热爱编程,喜欢玩游戏. 希望可以结识更多的小伙伴...
06-30 1105
基于springboot 根据ca.crt、client.crt和client.key文件实现与服务端https双向认证通讯
weixin_45762586的博客
01-11 802
基于springboot 根据ca.crt、client.crt和client.key文件实现与服务端https双向认证通讯
Spring Boot配置ssl证书
IT技术栈-IanLee
04-09 3万+
Spring Boot配置ssl证书 一、申请有权威的SSL证书 在各大云服务商都可以申请到SSL官方证书。 我这里是在阿里云上申请的,申请后下载,解压。如图: 二、用JDK中keytool是一个证书管理工具,压缩成tomcat所支持的.jks 1、打开你安装的jdk目录下 2、打开dos命令框(命令提示符) 2.1、进入JDK所在的盘符,我的是D盘 2.2、进入J...
springboot通过已有的server.key,crt,ca证书生成jks文件并开启HTTPS 并启动双向认证+动态加载信任库
qq_34239851的博客
11-17 2211
这里写目录标题一级目录二级目录三级目录 一级目录 二级目录 三级目录
springboot ssl证书配置
04-30
在使用SpringBoot开发Web应用时,为确保数据传输的安全,需要通过证书对网站进行加密和验证。SSL证书可以认证服务器的身份,并通过加密机制,保证数据传输的私密性和完整性。SpringBoot支持使用自签名证书和第三方证书来实现SSL证书的配置。 配置自签名证书步骤如下: 1. 创建keystore文件:通过keytool命令生成一个用于存储SSL证书的keystore文件; 2. 配置ssl属性:在application.properties或application.yml中添加以下配置信息: server.port: 443 #HTTPS默认端口 server.ssl.key-store: classpath:ssl/keystore.p12 #证书存储路径 server.ssl.key-store-password: password #证书密码 server.ssl.key-store-type: PKCS12 #证书类型 server.ssl.key-alias: tomcat #证书别名 server.ssl.enabled=true #启用SSL 配置第三方证书步骤如下: 1. 申请证书:向第三方证书提供商购买SSL证书; 2. 导入证书:将证书导入到keystore文件中,可使用keytool命令导入; 3. 配置ssl属性:在application.properties或application.yml中添加以下配置信息: server.port: 443 #HTTPS默认端口 server.ssl.key-store: classpath:ssl/keystore.p12 #证书存储路径 server.ssl.key-store-password: password #证书密码 server.ssl.key-store-type: PKCS12 #证书类型 server.ssl.key-alias: tomcat #证书别名 server.ssl.enabled=true #启用SSL 在以上配置完成后,即可启动SpringBoot应用程序,并通过https://localhost:443进行访问,访问时可以看到浏览器中有加密锁标记,表示数据已经开始加密传输。同时,也可使用在线工具或postman等第三方工具进行测试。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值