springboot基于keytool实现https的双向认证

这篇具有很好参考价值的文章主要介绍了springboot基于keytool实现https的双向认证。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一、环境准备

服务器信息如下:

操作系统 说明
server-one 服务器1
server-two 服务器2

二、keytool命令解释

-genkey 表示要创建一个新的密钥。 
-alias 表示 keystore 的别名。 
-keyalg 表示使用的加密算法是 RSA ,一种非对称加密算法。 
-keysize 表示密钥的长度。 
-keystore 表示生成的密钥存放位置。 
-validity 表示密钥的有效时间,单位为天。

-keypass 私钥访问密码:123456

-storepass keystone文件访问密码:123456

  • 查看证书的具体信息
keytool -list -keystore /home/keytool/trustKeys.p12 -storetype pkcs12 -v
  • 删除导入的信任证书
keytool -delete -alias server-one -keystore /home/keytool/trustKeys.p12

  说明:keytool -delete -alias 删除证书的别名 -keystore 信任库 

三、服务器server-one生成密钥

  • 服务器1生成TrustStore(信任库.P12)
keytool -genkey -alias trustkeys -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore /home/keytool/trustKeys.p12 -validity 36500

springboot基于keytool实现https的双向认证

  • 服务器1生成客户端密钥(.P12)
keytool -genkey -alias server-one -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore /home/keytool/server-one.p12 -validity 36500
  • 服务器1导出客户端公钥(.cer)
keytool -keystore /home/keytool/server-one.p12 -export -alias server-one -file /home/keytool/server-one-publicKey.cer
  • 添加客户端(服务器2)公钥到服务器1的信任库(双向认证需要操作此步骤)
keytool -import -alias server-two -v -file /home/keytool/server-two-publicKey.cer -keystore /home/keytool/trustKeys.p12

springboot基于keytool实现https的双向认证

  • 从服务器1生成客户端密钥(.P12)文件中导出私钥文件(.key)
openssl pkcs12 -in /home/keytool/server-one.p12  -nodes -nocerts -out /home/keytool/server-one.key
  • 从服务器1导出的客户端公钥(.cer)文件中导出公钥文件(.pem)
openssl x509 -inform der -in /home/keytool/server-one-publicKey.cer -out /home/keytool/server-one.pem

四、服务器server-two生成密钥(参考服务器1)

  • 服务器2生成TrustStore(信任库.P12)
keytool -genkey -alias trustkeys -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore /home/keytool/trustKeys.p12 -validity 36500
  • 服务器2生成客户端密钥(.P12)
keytool -genkey -alias server-two -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore /home/keytool/server-two.p12 -validity 36500
  • 服务器2导出客户端公钥(.cer)
keytool -keystore /home/keytool/server-two.p12 -export -alias server-one -file /home/keytool/server-two-publicKey.cer
  • 添加客户端(服务器1)的公钥到服务器2的信任库(双向认证需要操作此步骤)
keytool -import -alias server-one -v -file /home/keytool/server-one-publicKey.cer -keystore /home/keytool/trustKeys.p12
  • 从服务器2生成客户端密钥(.P12)文件中导出私钥文件(.key)
openssl pkcs12 -in /home/keytool/server-two.p12  -nodes -nocerts -out /home/keytool/server-two.key
  • 从服务器2导出的客户端公钥(.cer)文件中导出公钥文件(.pem)
openssl x509 -inform der -in /home/keytool/server-two-publicKey.cer -out /home/keytool/server-two.pem

 五、配置SpringBoot支持https

1、服务器1配置文件application.properties

#开启ssl
server.ssl.enabled=true
#配置的值 need双向验证 none不验证客户端 want会验证,但不强制验证,即验证失败也可以成功建立连接
server.ssl.client-auth=need
#协议
#server.ssl.protocol=TLS
#服务通信证书
server.ssl.key-store=classpath:ssl/server-one.p12
#密钥密码
#server.ssl.key-password=123456
#证书密码
server.ssl.key-store-password=123456
#证书格式
server.ssl.key-store-type=PKCS12
#证书别名
server.ssl.keyAlias=server-one

#信任库文件
server.ssl.trust-store=classpath:ice-ca/trustKeys.p12
#信任库密码
server.ssl.trust-store-password=123456
#信任库类型
server.ssl.trust-store-type=PKCS12

2、服务器2配置文件application.properties

#开启ssl
server.ssl.enabled=true
#配置的值 need双向验证 none不验证客户端 want会验证,但不强制验证,即验证失败也可以成功建立连接
server.ssl.client-auth=need
#协议
#server.ssl.protocol=TLS
#服务通信证书
server.ssl.key-store=classpath:ssl/server-two.p12
#密钥密码
#server.ssl.key-password=123456
#证书密码
server.ssl.key-store-password=123456
#证书格式
server.ssl.key-store-type=PKCS12
#证书别名
server.ssl.keyAlias=server-two

#信任库文件
server.ssl.trust-store=classpath:ice-ca/trustKeys.p12
#信任库密码
server.ssl.trust-store-password=123456
#信任库类型
server.ssl.trust-store-type=PKCS12

3、拷贝相应密钥到resources目录下

springboot基于keytool实现https的双向认证

4、pom.xml配置文件添加配置项如下

<resources>
    <resource>
        <directory>src/main/java</directory>
        <includes>
            <include>**/*.xml</include>
            <include>ssl/server-one.p12</include>
            <include>ice-ca/trustKeys.p12</include>
        </includes>
    </resource>
    <resource>
        <directory>src/main/resources</directory>
    </resource>
</resources>

六、配置RestTemplate工具类

1、pom添加httpclient支持

        <dependency>
            <groupId>org.apache.httpcomponents</groupId>
            <artifactId>httpclient</artifactId>
            <version>4.5.13</version>
        </dependency>

2、设置RestTemplate支持https请求

import lombok.extern.slf4j.Slf4j;
import org.apache.http.conn.ssl.NoopHostnameVerifier;
import org.apache.http.conn.ssl.SSLConnectionSocketFactory;
import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClients;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.client.HttpComponentsClientHttpRequestFactory;
import org.springframework.web.client.RestTemplate;

import javax.net.ssl.*;
import java.io.FileNotFoundException;
import java.io.IOException;
import java.io.InputStream;
import java.security.*;
import java.security.cert.CertificateException;
import java.time.Duration;

/**
 * HTTPS通信双向认证工具类
 *
 * @author xiwh
 */
@Configuration
@Slf4j
public class RestTemplateConfig {

    @Value("${server.ssl.key-store-type}")
    String clientKeyType;
    @Value("${server.ssl.key-store}")
    String clientPath;
    @Value("${server.ssl.key-store-password}")
    String clientPass;
    @Value("${server.ssl.trust-store-type}")
    String trustKeyType;
    @Value("${server.ssl.trust-store}")
    String trustPath;
    @Value("${server.ssl.trust-store-password}")
    String trustPass;

    @Bean
    public RestTemplate restTemplate() {
        RestTemplate restTemplate = null;
        try {
            HttpComponentsClientHttpRequestFactory requestFactory = new HttpComponentsClientHttpRequestFactory();
            // 客户端证书类型
            KeyStore clientStore = KeyStore.getInstance(clientKeyType);
            // 加载客户端证书,即自己的私钥
            InputStream keyStream = getClass().getClassLoader().getResourceAsStream(clientPath);
            clientStore.load(keyStream, clientPass.toCharArray());
            // 创建密钥管理工厂实例
            KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
            // 初始化客户端密钥库
            keyManagerFactory.init(clientStore, clientPass.toCharArray());
            KeyManager[] keyManagers = keyManagerFactory.getKeyManagers();

            // 创建信任库管理工厂实例
            TrustManagerFactory trustManagerFactory = TrustManagerFactory
                    .getInstance(TrustManagerFactory.getDefaultAlgorithm());
            KeyStore trustStore = KeyStore.getInstance(trustKeyType);
            InputStream trustStream = getClass().getClassLoader().getResourceAsStream(trustPath);
            // 加载信任证书
            trustStore.load(trustStream, trustPass.toCharArray());
            // 初始化信任库
            trustManagerFactory.init(trustStore);

            //双向校验 校验服务端证书是否在信任库
            TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();
            // 建立TLS连接
            SSLContext sslContext = SSLContext.getInstance("TLS");
            // 初始化SSLContext
            sslContext.init(keyManagers, trustManagers, new SecureRandom());

            // INSTANCE 忽略域名检查
            SSLConnectionSocketFactory sslConnectionSocketFactory = new SSLConnectionSocketFactory(sslContext, NoopHostnameVerifier.INSTANCE);
            // 创建httpClient对象
            CloseableHttpClient httpclient = HttpClients
                    .custom()
                    .setSSLSocketFactory(sslConnectionSocketFactory)
                    .setSSLHostnameVerifier(new NoopHostnameVerifier())
                    .build();
            requestFactory.setHttpClient(httpclient);
            requestFactory.setConnectTimeout((int) Duration.ofSeconds(15).toMillis());
            restTemplate = new RestTemplate(requestFactory);
        } catch (KeyManagementException | FileNotFoundException | NoSuchAlgorithmException e) {
            e.printStackTrace();
        } catch (KeyStoreException | CertificateException | UnrecoverableKeyException | IOException e) {
            e.printStackTrace();
        }
        return restTemplate;
    }
    
}

3、测试代码

  • 服务器1(server-one)请求接口代码
    @Test
    public void testHttps() {
        String url = "https://127.0.0.1:8077/httpsTest";
        ResponseEntity<String> forEntity = restTemplate.getForEntity(url, String.class);
        System.out.println(forEntity.toString());
    }
  • 服务器2(server-two)controller代码
    /**
     * https测试方法
     *
     * @return
     */
    @ApiOperation("https测试方法")
    @GetMapping("/httpsTest")
    public Result httpsTest() {
        log.info("服务器server-two响应成功!");
        return Result.SUCCESS();
    }
  • 服务器2(server-two)执行结果
<200,{"code":1,"success":true,"msg":"操作成功","data":null}>

七、Nginx配置ssl证书


    server  {
    #监听前端访问端口
    listen       9028 ssl;
    #服务器地址
    server_name  47.104.239.238;
    charset utf-8;
    client_max_body_size 20M;
    
    #双向认证 开启校验客户端
    #ssl_verify_client on;
    #server公钥 或 阿里云证书 一般是crt文件
    ssl_certificate         /home/keytool/server.pem;
    #server私钥 或 阿里云证书 一般是key文件
    ssl_certificate_key     /home/keytool/server.key;
    #双向认证 客户端公钥
    #ssl_client_certificate  /home/keytool/server.pem;
    #支持ssl协议版本
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    #配置服务器可使用的加密算法
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
    # 指定服务器密码算法在优先于客户端密码算法时,使用 SSLv3 和 TLS 协议
    ssl_prefer_server_ciphers on;
    ssl_session_timeout 5m;
    
    #前端请求后端接口
    location  /prod-api/ {
    proxy_pass https://47.104.239.238:8077/;
    proxy_set_header Host $proxy_host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Nginx-Proxt true;
    proxy_set_header HTTP_X_FORWORDED_FOR $remote_addr;
    
    proxy_ssl_certificate     /home/keytool/server.pem;
    proxy_ssl_certificate_key /home/keytool/server.key;
    proxy_ssl_protocols       TLSv1 TLSv1.1 TLSv1.2 SSLv2 SSLv3 ;
    proxy_ssl_ciphers         ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
    proxy_ssl_session_reuse  off;
    proxy_ssl_server_name on;
    proxy_redirect off;
  }
    
    #前端包目录
    location / {
    root   /mnt/project/sinotmemc/dist;
    try_files $uri $uri/ /index.html;
    index  index.html index.htm;
  }
    
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
    root   html;
  }
  
  }

参考:

spring boot 使用RestTemplate通过证书认证访问https实现SSL请求_踩到最基点的博客-CSDN博客

转载请注明出处:BestEternity亲笔。文章来源地址https://www.toymoban.com/news/detail-513867.html

到了这里,关于springboot基于keytool实现https的双向认证的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【网络】https单向认证和双向认证

    之前面试的时候,面试官问我了解过https的双向认证吗?当时,的确不理解。不过没关系,现在就来补上。 1.单向认证 还是有必要先说下单向认证,单向认证是我刚开始接触https的时候就了解到的。下面看一下执行流程图 (图是网上找的) 再用文字描述下: 首先建立链接  - 验

    2023年04月09日
    浏览(50)
  • springboot项目开启ssl双向认证且实现相互访问通信浏览器访问通信

    1、服务器端===生成自签名证书** 这段命令是使用Java的keytool工具生成一个RSA算法的密钥对,并将其保存在名为server.jks的密钥库文件中。以下是各个参数的解释: -genkeypair:生成密钥对的命令。 -keyalg RSA:指定使用RSA算法生成密钥对。 -keysize 2048:指定生成的密钥长度为2048位。

    2024年03月21日
    浏览(42)
  • ingress-nginx-controller的HTTPS双向认证配置

    原来我们使用云厂商的应用程序网关配置HTTPS双向认证,但后来客户提出要求使用证书吊销列表CRL。遗憾的是,云厂商的应用程序网关并不支持通过CRL进行吊销检查,这使得我们不得不将HTTPS双向认证迁移到Kubernetes集群中的ingress-nginx-controller。接下来,我们将详细描述在Kube

    2024年02月02日
    浏览(35)
  • c++使用OpenSSL基于socket实现tcp双向认证ssl(使用TSL协议)代码实现

    相信各位对OpenSSL库已经不陌生了,目前笔者使用这个库实现了RSA、AES加解密和tcp的双向认证功能,下面来看tcp的双向认证。 简单说双向认证就是:客户端认证服务端是否合法,服务端认证客户端是否合法 。 可以借助于HTTPS来说明,http网络传输协议是超文本的明文协议,也就

    2024年02月06日
    浏览(56)
  • Kubernetes客户端认证——基于CA证书的双向认证方式

    Kubernetes集群的访问权限控制由API Server负责,API Server的访问权限控制由身份验证(Authentication)、授权(Authorization)和准入控制(Admission control)三个步骤组成,这个三个步骤是按序进行的(详细介绍请参见《(转)使用kubectl访问Kubernetes集群时的身份验证和授权》)。 其中身份验证

    2023年04月10日
    浏览(35)
  • postman中测试https双向认证时,报错Error: Hostname/IP does not match certificate‘s altnames: IP: 192.168.64.180

    上篇文章ssl单向证书和双向证书校验测试及搭建流程中,已经在浏览器中跑通基于https的双向认证了。。 现在到postman中倒腾一下,,, 结果发起https请求时,直接报错,,,, 后来经过抓包,,实际上client和server确实进行了证书校验。。 然后就完了,并没有数据的响应过程

    2024年01月22日
    浏览(47)
  • https解决方案-利用keytool生成证书

    HTTPS其实是有两部分组成:HTTP + SSL / TLS, 也就是在HTTP上又加了一层处理加密信息的模块,并且会进行身份的验证。 就是自己生成的证书,并不是官方生成的证书。 除非是很正式的项目,否则使用自己签发的证书即可,因为官方生成证书是要花钱滴。 第一步:为服务器生成

    2024年02月01日
    浏览(36)
  • 基于SSL/TLS双向安全连接设备CA证书认证

    小伙伴儿们,如果觉得文章干货满满,欢迎加入公众号【编程识堂】,更多干货等你们来哦! 设备证书是由CA根证书签发给客户端设备使用的数字证书,用于客户端和服务端连接时,服务端对客户端进行安全认证。认证通过后服务端和客户端可基于证书内的加密密钥进行安全

    2024年01月20日
    浏览(46)
  • nginx实现双向认证

    1. 创建根证书 证书的Common Name可填写为 root .  所有客户端和服务器端的证书这个字段需要填写域名或者ip ,一定要注意的是, 根证书的这个字段和客户端证书、服务器端证书不能一样 其他所有字段的填写,根证书、服务器端证书、客户端证书需保持一致 无用项可以选择直接

    2024年02月06日
    浏览(40)
  • windows 使用Keytool为JDK添加https证书信任(cer证书)

    在实际工作中我们可能要在服务端调用https的接口,但是在用httpclient调用接口时会报一些安全的错误,要想调通接口这个问题,需要在jdk中导入安全证书 根据具体实际情况获取证书,是在浏览器获取证书(百度一下很多)还是第三方对接给的证书 例如:拿到了test.cer证书文件

    2024年01月19日
    浏览(35)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包