springboot实现的https单向认证和双向认证(java生成证书)
1、java生成HTTPS证书:
既然是双向验证,就需要双方的密钥,我们服务端称为localhost,而客户端称为client。需要生成双方的密钥文件,并把对方的cert导入自己的密钥文件里。整个过程如下:
注意:密码统一为:changeit,这个密码自己可以设置,然后记住就可以了。
生成服务端密钥文件localhost.jks:
keytool -genkey -alias localhost -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keystore localhost.jks -dname CN=localhost,OU=Test,O=pkslow,L=Guangzhou,C=CN -validity 731 -storepass changeit -keypass changeit
导出服务端的cert文件:
keytool -export -alias localhost -file localhost.cer -keystore localhost.jks
生成客户端的密钥文件client.jks:
keytool -genkey -alias client -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keystore client.jks -dname CN=client,OU=Test,O=pkslow,L=Guangzhou,C=CN -validity 731 -storepass changeit -keypass changeit
导出客户端的cert文件:
keytool -export -alias client -file client.cer -keystore client.jks
把客户端的cert导入到服务端:
keytool -import -alias client -file client.cer -keystore localhost.jks
把服务端的cert导入到客户端:
keytool -import -alias localhost -file localhost.cer -keystore client.jks
检验服务端是否具有自己的private key和客户端的cert:
keytool -list -keystore localhost.jks
为了建立连接,应该要把客户端的密钥文件给谷歌浏览器使用。因为JKS是Java的密钥文件格式,我们转换成通用的PKCS12格式如下:
转换JKS格式为P12:
keytool -importkeystore -srckeystore client.jks -destkeystore client.p12 -srcstoretype JKS -deststoretype PKCS12 -srcstorepass changeit -deststorepass changeit -srckeypass changeit -destkeypass changeit -srcalias client -destalias client -noprompt
成功执行完上述步骤后,会生成5个文件:
- 服务端密钥文件: localhost.jks
- 服务端cert文件:localhost.cer
- 客户端密钥文件:client.jks
- 客户端cert文件:client.cer
- 客户端能识别的密钥文件:client.p12
2、配置SpringBoot:
在application.properties或者application.yml中去配置即可:
server.port=443 server.ssl.enabled=true server.ssl.key-store-type=JKS server.ssl.key-store=classpath:localhost.jks server.ssl.key-store-password=changeit server.ssl.key-alias=localhost server.ssl.trust-store=classpath:localhost.jks server.ssl.trust-store-password=changeit server.ssl.trust-store-provider=SUN server.ssl.trust-store-type=JKS server.ssl.client-auth=need
需要将生成的localhost.jks文件放到springboot项目中的resource文件夹下,然后重启项目,就可以了
需要分别配置Key Store和Trust Store的文件、密码等信息,即使是同一个文件。
需要注意的是,server.ssl.client-auth有三个可配置的值:none、want和need。双向验证应该配置为need;none表示不验证客户端;want表示会验证,但不强制验证,即验证失败也可以成功建立连接。
3、用Postman测试双向验证:
完成密钥文件准备和配置后,启动SpringBootbian便可以了,我这里用谷歌浏览器访问如下:
然后我将生成的证书导入到浏览器中,重启浏览器继续访问测试接口,就会提示我们选择证书,点击我们导入的证书就可以正常访问了。
如何在浏览器中导入证书呢?打开谷歌浏览器,找到设置->隐私设置和安全性->安全->管理设备证书->导入,按步骤提示导入就可以了,导入的是client.p12这个文件,
需要输入密码就是我们前面设置的changeit,当然你设置了其他的密码,正常输入就可以了。
然后重启浏览器再次访问,记得是https开头的URL,就会提示我们选择证书,选择我们导入的证书,点击确定就可以了。
至于单向认证只需要我们将server.ssl.client-auth的值改为none就可以了,这样我们就不需要在客户端浏览器导入证书了,访问遇到警告,点击滤过继续访问就可以正常访问了
至此整个认证过程就结束了,更多相关springboot https单向认证和双向认证内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
SpringBoot服务设置禁止server.point端口的使用
本文主要介绍了SpringBoot服务设置禁止server.point端口的使用,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2024-01-01
解决@MapperScan和@Mapper共存之坑XxxMapper that could not be fo
这篇文章主要介绍了解决@MapperScan和@Mapper共存之坑XxxMapper that could not be found问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教2024-06-06
String类是在所有开发项目开发之中一定会使用的一个功能类。虽然String类很好用,但也有弊端——内容不允许频繁修改,所以为了解决问题,我们提供了StringBuffer类。本文就来讲讲StringBuffer类的用法2022-07-07
这篇文章主要介绍了java实现屏蔽词功能,类似贴吧里面屏蔽各种用户的发帖内容,感兴趣的小伙伴们可以参考一下2015-12-12
这篇文章主要介绍了Java异常跟踪栈定义与用法,结合具体实例形式分析了异常处理栈的概念、原理及相关使用技巧,需要的朋友可以参考下2018-05-05
这篇文章主要为大家详细介绍了JCrontab简单入门实例,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2017-12-12
这篇文章主要介绍了深入浅出理解Java泛型的使用,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2021-09-09
这篇文章主要介绍了idea的spring boot项目实现更改端口号操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧2020-09-09
这篇文章主要为大家详细介绍了gson如何序列化子类的相关知识,文中的示例代码讲解详细,具有一定的学习和借鉴价值,感兴趣的小伙伴可以跟随小编一起学习一下2023-10-10
本文主要介绍了SpringBoot中处理日期的两种方式小结,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2023-04-04
最新评论