自制Https证书并在Spring Boot和Nginx中使用(转)

白话Https一文中, 介绍了Https存在的目的和工作原理,但多是偏向于原理性的介绍,本文介绍如何一步一步自制一个能够通过浏览器认证的Https证书,并讲解在Spring Boot环境和Nginx环境中服务器端的配置。

如果你还没有读过白话Https,我强烈建议你先去读一下。按照白话Https中的介绍,Https协议涉及到的主体主要有三个:客户端、服务端、以及CA机构。如下图所示:

在白话Https一文中,曾介绍一个服务要申请使用Https的流程。本文所介绍的流程,针对自制Https证书,更多的面向测试场景,当然了,有些网站,比如像12306这样的,也会自制根证书要求用户安装。既然是要DIY,当然也要分别在三个主体上做工作。

证书颁发机构

  • CA机构私钥
openssl genrsa -out ca.key 2048
  • CA证书
openssl req -x509 -new -key ca.key -out ca.crt

注意生成过程中需要输入一些CA机构的信息

服务端

  • 生成服务端私钥
openssl genrsa -out server.key 2048
  • 生成服务端证书请求文件
openssl req -new -key server.key -out server.csr

注意生成过程中需要你输入一些服务端信息

  • 使用CA证书生成服务端证书
openssl x509 -req -sha256 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out server.crt

关于sha256,默认使用的是sha1,在新版本的chrome中会被认为是不安全的,因为使用了过时的加密算法。

  • 打包服务端的资料为pkcs12格式(非必要,只是换一种格式存储上一步生成的证书)
openssl pkcs12 -export -in server.crt -inkey server.key -out server.pkcs12

生成过程中,需要创建访问密码,请记录下来。

  • 生成服务端的keystore(.jks文件, 非必要,Java程序通常使用该格式的证书)
keytool -importkeystore -srckeystore server.pkcs12 -destkeystore server.jks -srcstoretype pkcs12

生成过程中,需要创建访问密码,请记录下来。

  • 把ca证书放到keystore中(非必要)
keytool -importcert -keystore server.jks -file ca.crt

客户端

  • 导入根证书ca.crt到浏览器受信任的根证书颁发机构列表中

不管通过什么浏览器吧,总之你要找到下面这个页面,点击导入,将上面生成的CA机构的ca.crt导入到收信任的根证书颁发机构列表中。

注意,收信任的根证书颁发机构列表是操作系统级的,不管通过哪个浏览器进入配置,都是只需要配置一次,再使用其它浏览器时,无需重复配置。

Spring Boot

Spring Boot为web容器提供了统一的抽象配置,不管你使用的是Tomcat是Jetty还是其它web容器,如果要在Spring Boot中使用Https,你只需要在你的配置类中,添加如下代码,注册一个EmbeddedServletContainerCustomizer Bean即可。

需要用到上面生成的Server.jks文件。

@Configuration
public class WebConfig {

    @Bean
    public EmbeddedServletContainerCustomizer containerCustomizer() {
        return new EmbeddedServletContainerCustomizer() {
            @Override
            public void customize(ConfigurableEmbeddedServletContainer container) {
                Ssl ssl = new Ssl();
                ssl.setKeyStore("Server.jks");
                ssl.setKeyStorePassword("passwd");
                container.setSsl(ssl);
                container.setPort(8443);
            }
        };
    }
}

Nginx

如果要在Nginx中使用Https,需要用到上面生成的Server.crt,Server.key。

server {
    listen      127.0.0.1:443 ssl;

    ssl on;
    ssl_certificate Server.crt;
    ssl_certificate_key Server.key;

    #省略无关配置...
}

总结

  1. crt、jks、pkcs12都是用来保存证书的不同格式,不同的服务器软件可能会使用不同格式的证书文件。
  2. OpenSSl、Keytool都是可以用来生成Https证书的工具软件,其中OpenSSl功能更多更复杂,Keytool随JDK安装而安装。
  3. 证书的格式是多样的,生成证书的软件工具有很多,不同服务器程序的配置方法不尽相同,要达成目的有很多种方法。所以,重要的是弄懂原理,而不是按照教程一步一步敲命令。
  4. 跟白话Https一样,本文仍然没有介绍服务端怎么验证客户端,但如果你弄懂了原理,我想你已经可以自己去实现了

http://www.cnblogs.com/xinzhao/p/4950689.html

时间: 2024-10-25 14:16:22

自制Https证书并在Spring Boot和Nginx中使用(转)的相关文章

Spring Boot源码中模块详解

Spring Boot源码中模块详解 一.源码 spring boot2.1版本源码地址:https://github.com/spring-projects/spring-boot/tree/2.1.x 二.模块 Spring Boot 包含许多模块,以下是一些简单的概述: 1,spring-boot 为Spring Boot其他部分功能提供主要的lib包,其中包含:(1)SpringApplication类提供了静态便利的方法使编写独立的SpringApplication更加容易.它唯一的任

Spring boot 整合Activiti中遇到的问题

Pom.xml 配置<!-- activiti --> <dependency> <groupId>org.activiti</groupId> <artifactId>activiti-spring-boot-starter-basic</artifactId> <version>6.0.0</version> </dependency> <!-- mysql 驱动 --> <d

spring boot项目搭建中遇到的问题

自己动手搭建一下spring boot的项目,中途遇到了几个问题,在这里记录一下! 一.关于数据库中的表设计的问题 1.设计表的时候一定要添加的两个字段created updated 创建时间与更新时间 这两个字段是必须的2.数据库的表字段设计一定要规范,因为如果使用分页助手的话,你的表字段设计不规范,会存在很多问题比如:我的book_info 表中的字段 有一个是pubInfo 驼峰命名法,但是其他的是book_name.img_url 下划线命名法,造成使用通用mapper以及分页助手的时候

Spring Boot 持续更新中...

内容 Spring Boot入门 Spring Boot配置 Spring Boot与日志 Spring Boot与Web开发 Spring Boot与Docker Spring Boot与数据访问 Spring Boot启动配置原理 Spring Boot自定义starters Spring Boot与缓存 Spring Boot与消息 Spring Boot与检索 Spring Boot与任务 Spring Boot与安全 Spring Boot与分布式 Spring Boot与开发热部署

Spring boot 2.x 中使用redis

一.添加Maven  依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> <version>2.1.3.RELEASE</version> </dependency> 二.application.yml 中配置 redis 相关配置

(006)Spring Boot之配置文件中可以使用$引用变量

springboot的配置文件中可以使用$引用变量,如下: pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="

spring boot拦截器中获取request post请求中的参数

最近有一个需要从拦截器中获取post请求的参数的需求,这里记录一下处理过程中出现的问题. 首先想到的就是request.getParameter(String )方法,但是这个方法只能在get请求中取到参数,post是不行的,后来想到了使用流的方式,调用request.getInputStream()获取流,然后从流中读取参数,如下代码所示: String body = ""; StringBuilder stringBuilder = new StringBuilder(); Buf

spring boot在Eclipse中,修改代码后无需重启就生效的配置

<build> <finalName>my-spring-boot</finalName> <!-- 指定package生成的文件名为my-spring-boot.jar --> <plugins> <plugin> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-maven-plugin</artifac

spring boot项目开发中遇到问题,持续更新

1.JPA中EntityManager不能执行建表语句,提示要加事务Error:javax.persistence.TransactionRequiredException: Executing an update/delete query 换成直接连数据库原来操作来解决 2.resources下的文件采用中文命名,读取不到. 3.使用h2数据库在加了认证后不能访问h2后台,登录进去为空白f12看到页面有一个错误提示Sorry, Lynx not supported yet  解决方法: 在安全