springboot 2.1.6 版本 項目https改造

構建ca證書鏈

我們首先要創建 client/server 使用的證書。創建證書的方法有很多種:有不怕麻煩,直接通過openssl創建的,有通過 cfssl 創建的。這里要介紹的是我認為最簡單的一種:tls-gen

tls-gen是一個用 Python 編寫的、非常易用的工具。它定義了三種 profile。這里我們選擇最簡單的一種:一個根證書和一組證書、私鑰對。

在 shell 里面執行一下的命令:

#注意需要的環境是python3.5+ 
git clone https://github.com/michaelklishin/tls-gen
cd tls-gen/basic
make PASSWORD=123456 DAYS_OF_VALIDITY=3650 CN=www.open-api.io

就這樣,我們就為域名 www.open-api.io 創建了一套證書。觀察一下當前路徑的內容,我們會發現4個新的目錄:testca、result、clientserver
前者里面存放了剛剛創建的根證書 (root CA),后者里面存放了我們服務程序要用的的證書和私鑰。

  • cacert.cer:
    可以導入到瀏覽器中,然后就可以正常訪問https頁面
  • cacert.pem:
    各個 OS 添加根證書的方法是不同的。對于 Linux 系統 (以 Ubuntu 為例) 來說,把證書文件放到相應的目錄即可:
sudo cp testca/cacert.pem /etc/ssl/certs

  • keycert.p12
    導入到springboot項目中

  • 查看別名

#查看證書的具體信息,包括tomcat必須用的別名
keytool -list -v -keystore keycert.p12 -storepass 123456

[root@localhost server]# tree ../server/
../server/
├── cert.pem
├── keycert.p12
├── key.pem
└── req.pem

0 directories, 4 files
[root@localhost server]# tree ../testca/
../testca/
├── cacert.cer
├── cacert.pem
├── certs
│   ├── 01.pem
│   └── 02.pem
├── index.txt
├── index.txt.attr
├── index.txt.attr.old
├── index.txt.old
├── private
│   └── cakey.pem
├── serial
└── serial.old

[root@localhost basic]# tree client/
client/
├── cert.pem
├── keycert.p12
├── key.pem
└── req.pem

0 directories, 4 files

服務器構建

修改properties配置文件
http.port=8080
# Define a custom port instead of the default 8080
server.port = 8443
# The format used for the keystore
server.ssl.key-store-type=PKCS12
# The path to the keystore containing the certificate
server.ssl.key-store=classpath:keycert.p12
# The password used to generate the certificate
server.ssl.key-store-password=123456
# The alias mapped to the certificate
server.ssl.key-alias=1
修改Application代碼
    @Bean
    public ServletWebServerFactory servletContainer() {
        TomcatServletWebServerFactory tomcat = new TomcatServletWebServerFactory() {
            @Override
            protected void postProcessContext(Context context) {
                // 如果要強制使用https,請松開以下注釋
                 SecurityConstraint constraint = new SecurityConstraint();
                 constraint.setUserConstraint("CONFIDENTIAL");
                 SecurityCollection collection = new SecurityCollection();
                 collection.addPattern("/*");
                 constraint.addCollection(collection);
                 context.addConstraint(constraint);
            }
        };
        // 添加http
        tomcat.addAdditionalTomcatConnectors(createStandardConnector());
        return tomcat;
    }
    
    // 配置http
    private Connector createStandardConnector() {
        // 默認協議為org.apache.coyote.http11.Http11NioProtocol
        Connector connector = new Connector(TomcatServletWebServerFactory.DEFAULT_PROTOCOL);
        connector.setSecure(false);
        connector.setScheme("http");
        connector.setPort(port);
        // 當http重定向到https時的https端口號
        connector.setRedirectPort(httpsPort);
        return connector;
    }

客戶端調用

這里用的client目錄下的私鑰

# 使用client目錄下的私鑰 keycert.p12
[root@localhost basic]# tree client/
client/
├── cert.pem
├── keycert.p12
├── key.pem
└── req.pem
編寫RestTemplate
import com.google.common.collect.Lists;
import io.micrometer.core.instrument.util.StringUtils;
import org.apache.http.conn.ssl.SSLConnectionSocketFactory;
import org.apache.http.impl.client.HttpClients;
import org.apache.http.ssl.SSLContexts;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.io.support.ResourcePatternResolver;
import org.springframework.http.MediaType;
import org.springframework.http.client.HttpComponentsClientHttpRequestFactory;
import org.springframework.http.converter.xml.Jaxb2RootElementHttpMessageConverter;
import org.springframework.web.client.RestTemplate;

import javax.net.ssl.*;
import java.io.InputStream;
import java.security.KeyStore;
import java.util.ArrayList;
import java.util.List;

/**
 * @date 2019-12-23 20:05:03
 * @since 1.0.0
 */
@Configuration
public class ServiceConfigConfiguration {

    @Autowired
    SSLProperties sslProperties;

    @Autowired
    ResourcePatternResolver resourcePatternResolver;

    /**
     * 訪問SSL的Template
     *
     * @throws Exception
     */
    @Bean("sslRestTemplate")
    public RestTemplate tmsRestTemplate() throws Exception {
        //新建RestTemplate對象
        RestTemplate restTemplate = new RestTemplate();
        //判斷證書文件地址是否存在
        if (StringUtils.isNotEmpty(sslProperties.getKeyfile())) {
            //在握手期間,如果URL的主機名和服務器的標識主機名不匹配,則驗證機制可以回調此接口的實現程序來確定是否應該允許此連接
            HostnameVerifier hv = new HostnameVerifier() {
                @Override
                public boolean verify(String urlHostName, SSLSession session) {
                    return true;
                }
            };
            HttpsURLConnection.setDefaultHostnameVerifier(hv);
            //構建SSL-Socket鏈接工廠
            SSLConnectionSocketFactory ssLSocketFactory = buildSSLSocketFactory("PKCS12",
                    sslProperties.getKeyfile(), sslProperties.getPassword(),
                    Lists.newArrayList("TLSv1"), true);
            //Spring提供HttpComponentsClientHttpRequestFactory指定使用HttpClient作為底層實現創建 HTTP請求
            HttpComponentsClientHttpRequestFactory httpRequestFactory = new HttpComponentsClientHttpRequestFactory(
                    HttpClients.custom().setSSLSocketFactory(ssLSocketFactory).build()
            );
            //設置傳遞數據超時時長
            httpRequestFactory.setReadTimeout(sslProperties.getTimeout());
            //設置建立連接超時時長
            httpRequestFactory.setConnectTimeout(sslProperties.getTimeout());
            //設置獲取連接超時時長
            httpRequestFactory.setConnectionRequestTimeout(sslProperties.getTimeout());

            restTemplate.setRequestFactory(httpRequestFactory);

            // 返回消息頭也是text_html,消息格式是XML,添加新的message converter
            Jaxb2RootElementHttpMessageConverter messageConverter = new Jaxb2RootElementHttpMessageConverter();
            //設置message Converter支持的媒體類型
            List<MediaType> finalMediaTypes = new ArrayList<>();
            finalMediaTypes.addAll(messageConverter.getSupportedMediaTypes());
            finalMediaTypes.add(MediaType.TEXT_HTML);
            messageConverter.setSupportedMediaTypes(finalMediaTypes);
            restTemplate.setMessageConverters(Lists.newArrayList(messageConverter));

        }
        return restTemplate;
    }

    /**
     * 構建SSLSocketFactory
     *
     * @param keyStoreType
     * @param keyFilePath
     * @param keyPassword
     * @param sslProtocols
     * @param auth         是否需要client默認相信不安全證書
     * @return
     * @throws Exception
     */
    private SSLConnectionSocketFactory buildSSLSocketFactory(String keyStoreType, String keyFilePath,
                                                             String keyPassword, List<String> sslProtocols, boolean auth) throws Exception {
        //證書管理器,指定證書及證書類型
        KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
        //KeyStore用于存放證書,創建對象時 指定交換數字證書的加密標準
        KeyStore keyStore = KeyStore.getInstance(keyStoreType);
        InputStream inputStream = resourcePatternResolver.getResource(keyFilePath).getInputStream();
        try {
            //添加證書
            keyStore.load(inputStream, keyPassword.toCharArray());
        } finally {
            inputStream.close();
        }
        keyManagerFactory.init(keyStore, keyPassword.toCharArray());

        SSLContext sslContext = SSLContext.getInstance("SSL");
        if (auth) {
            // 設置信任證書(繞過TrustStore驗證)
            TrustManager[] trustAllCerts = new TrustManager[1];
            TrustManager trustManager = new AuthX509TrustManager();
            trustAllCerts[0] = trustManager;
            sslContext.init(keyManagerFactory.getKeyManagers(), trustAllCerts, null);
            HttpsURLConnection.setDefaultSSLSocketFactory(sslContext.getSocketFactory());
        } else {
            //加載證書材料,構建sslContext
            sslContext = SSLContexts.custom().loadKeyMaterial(keyStore, keyPassword.toCharArray()).build();
        }

        SSLConnectionSocketFactory sslConnectionSocketFactory =
                new SSLConnectionSocketFactory(sslContext, sslProtocols.toArray(new String[sslProtocols.size()]),
                        null,
                        new HostnameVerifier() {
                            // 這里不校驗hostname
                            @Override
                            public boolean verify(String urlHostName, SSLSession session) {
                                return true;
                            }
                        });

        return sslConnectionSocketFactory;
    }

    public class AuthX509TrustManager implements javax.net.ssl.TrustManager, javax.net.ssl.X509TrustManager {
        @Override
        public java.security.cert.X509Certificate[] getAcceptedIssuers() {
            return null;
        }

        @Override
        public void checkServerTrusted(java.security.cert.X509Certificate[] certs, String authType)
                throws java.security.cert.CertificateException {
            return;
        }

        @Override
        public void checkClientTrusted(java.security.cert.X509Certificate[] certs, String authType)
                throws java.security.cert.CertificateException {
            return;
        }
    }
}
配置類 SSLProperties
import lombok.Data;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;


@Component
@Data
public class SSLProperties {
    @Value("${open.api.ssl.client.keyfile}")
    private String keyfile;

    @Value("${open.api.ssl.client.password}")
    private String password;

    @Value("${open.api.ssl.client.timeout}")
    private int timeout;
}
配置文件
#客戶端client配置
open.api.ssl.client.keyfile=classpath:client/keycert.p12
open.api.ssl.client.password=123456
open.api.ssl.client.timeout=10000
測試類
    @Resource(name = "sslRestTemplate")
    RestTemplate restTemplate;

    @Test
    public void testSslClient() {
        try {
            RestTemplate restTemplate = new RestTemplate();
            ResponseEntity<String> response = restTemplate.getForEntity("https://www.open-api.io:8443/****", String.class);
            System.out.println(response.getBody());
        } catch (RestClientException e) {
            e.printStackTrace();
        }
    }

參看資料
Go代碼打通HTTPs
SpringBoot配置http和https

最后編輯于
?著作權歸作者所有,轉載或內容合作請聯系作者
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發布,文章內容僅代表作者本人觀點,簡書系信息發布平臺,僅提供信息存儲服務。
  • 人面猴
    序言:七十年代末,一起剝皮案震驚了整個濱河市,隨后出現的幾起案子,更是在濱河造成了極大的恐慌,老刑警劉巖,帶你破解...
    沈念sama閱讀 228,412評論 6 532
  • 死咒
    序言:濱河連續發生了三起死亡事件,死亡現場離奇詭異,居然都是意外死亡,警方通過查閱死者的電腦和手機,發現死者居然都...
    沈念sama閱讀 98,514評論 3 416
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人,你說我怎么就攤上這事。” “怎么了?”我有些...
    開封第一講書人閱讀 176,373評論 0 374
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵,是天一觀的道長。 經常有香客問我,道長,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 62,975評論 1 312
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任,我火速辦了婚禮,結果婚禮上,老公的妹妹穿的比我還像新娘。我一直安慰自己,他們只是感情好,可當我...
    茶點故事閱讀 71,743評論 6 410
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布。 她就那樣靜靜地躺著,像睡著了一般。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發上,一...
    開封第一講書人閱讀 55,199評論 1 324
  • 城市分裂傳說
    那天,我揣著相機與錄音,去河邊找鬼。 笑死,一個胖子當著我的面吹牛,可吹牛的內容都是我干的。 我是一名探鬼主播,決...
    沈念sama閱讀 43,262評論 3 441
  • 雙鴛鴦連環套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了?” 一聲冷哼從身側響起,我...
    開封第一講書人閱讀 42,414評論 0 288
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后,有當地人在樹林里發現了一具尸體,經...
    沈念sama閱讀 48,951評論 1 336
  • ?護林員之死
    正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內容為張勛視角 年9月15日...
    茶點故事閱讀 40,780評論 3 354
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年,在試婚紗的時候發現自己被綠了。 大學時的朋友給我發了我未婚夫和他白月光在一起吃飯的照片。...
    茶點故事閱讀 42,983評論 1 369
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡,死狀恐怖,靈堂內的尸體忽然破棺而出,到底是詐尸還是另有隱情,我是刑警寧澤,帶...
    沈念sama閱讀 38,527評論 5 359
  • ?日本核電站爆炸內幕
    正文 年R本政府宣布,位于F島的核電站,受9級特大地震影響,放射性物質發生泄漏。R本人自食惡果不足惜,卻給世界環境...
    茶點故事閱讀 44,218評論 3 347
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧,春花似錦、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 34,649評論 0 26
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至,卻和暖如春,著一層夾襖步出監牢的瞬間,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 35,889評論 1 286
  • 情欲美人皮
    我被黑心中介騙來泰國打工, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留,地道東北人。 一個月前我還...
    沈念sama閱讀 51,673評論 3 391
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長得像,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當晚...
    茶點故事閱讀 47,967評論 2 374