springboot基于keytool实现https的双向认证

2023-12-27 03:30
文章标签 java 实现 springboot 认证 https spring 双向 keytool

本文主要是介绍springboot基于keytool实现https的双向认证,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、环境准备

服务器信息如下:

操作系统说明
server-one服务器1
server-two服务器2

二、keytool命令解释

-genkey 表示要创建一个新的密钥。 
-alias 表示 keystore 的别名。 
-keyalg 表示使用的加密算法是 RSA ,一种非对称加密算法。 
-keysize 表示密钥的长度。 
-keystore 表示生成的密钥存放位置。 
-validity 表示密钥的有效时间,单位为天。

-keypass 私钥访问密码:123456

-storepass keystone文件访问密码:123456

  • 查看证书的具体信息
keytool -list -keystore /home/keytool/trustKeys.p12 -storetype pkcs12 -v
  • 删除导入的信任证书
keytool -delete -alias server-one -keystore /home/keytool/trustKeys.p12

  说明:keytool -delete -alias 删除证书的别名 -keystore 信任库 

三、服务器server-one生成密钥

  • 服务器1生成TrustStore(信任库.P12)
keytool -genkey -alias trustkeys -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore /home/keytool/trustKeys.p12 -validity 36500

  • 服务器1生成客户端密钥(.P12)
keytool -genkey -alias server-one -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore /home/keytool/server-one.p12 -validity 36500
  • 服务器1导出客户端公钥(.cer)
keytool -keystore /home/keytool/server-one.p12 -export -alias server-one -file /home/keytool/server-one-publicKey.cer
  • 添加客户端(服务器2)公钥到服务器1的信任库(双向认证需要操作此步骤)
keytool -import -alias server-two -v -file /home/keytool/server-two-publicKey.cer -keystore /home/keytool/trustKeys.p12

  • 从服务器1生成客户端密钥(.P12)文件中导出私钥文件(.key)
openssl pkcs12 -in /home/keytool/server-one.p12  -nodes -nocerts -out /home/keytool/server-one.key
  • 从服务器1导出的客户端公钥(.cer)文件中导出公钥文件(.pem)
openssl x509 -inform der -in /home/keytool/server-one-publicKey.cer -out /home/keytool/server-one.pem

四、服务器server-two生成密钥(参考服务器1)

  • 服务器2生成TrustStore(信任库.P12)
keytool -genkey -alias trustkeys -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore /home/keytool/trustKeys.p12 -validity 36500

  • 服务器2生成客户端密钥(.P12)
keytool -genkey -alias server-two -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore /home/keytool/server-two.p12 -validity 36500
  • 服务器2导出客户端公钥(.cer)
keytool -keystore /home/keytool/server-two.p12 -export -alias server-one -file /home/keytool/server-two-publicKey.cer
  • 添加客户端(服务器1)的公钥到服务器2的信任库(双向认证需要操作此步骤)
keytool -import -alias server-one -v -file /home/keytool/server-one-publicKey.cer -keystore /home/keytool/trustKeys.p12
  • 从服务器2生成客户端密钥(.P12)文件中导出私钥文件(.key)
openssl pkcs12 -in /home/keytool/server-two.p12  -nodes -nocerts -out /home/keytool/server-two.key
  • 从服务器2导出的客户端公钥(.cer)文件中导出公钥文件(.pem)
openssl x509 -inform der -in /home/keytool/server-two-publicKey.cer -out /home/keytool/server-two.pem

 五、配置SpringBoot支持https

1、服务器1配置文件application.properties

#开启ssl
server.ssl.enabled=true
#配置的值 need双向验证 none不验证客户端 want会验证,但不强制验证,即验证失败也可以成功建立连接
server.ssl.client-auth=need
#协议
#server.ssl.protocol=TLS
#服务通信证书
server.ssl.key-store=classpath:ssl/server-one.p12
#密钥密码
#server.ssl.key-password=123456
#证书密码
server.ssl.key-store-password=123456
#证书格式
server.ssl.key-store-type=PKCS12
#证书别名
server.ssl.keyAlias=server-one#信任库文件
server.ssl.trust-store=classpath:ice-ca/trustKeys.p12
#信任库密码
server.ssl.trust-store-password=123456
#信任库类型
server.ssl.trust-store-type=PKCS12

2、服务器2配置文件application.properties

#开启ssl
server.ssl.enabled=true
#配置的值 need双向验证 none不验证客户端 want会验证,但不强制验证,即验证失败也可以成功建立连接
server.ssl.client-auth=need
#协议
#server.ssl.protocol=TLS
#服务通信证书
server.ssl.key-store=classpath:ssl/server-two.p12
#密钥密码
#server.ssl.key-password=123456
#证书密码
server.ssl.key-store-password=123456
#证书格式
server.ssl.key-store-type=PKCS12
#证书别名
server.ssl.keyAlias=server-two#信任库文件
server.ssl.trust-store=classpath:ice-ca/trustKeys.p12
#信任库密码
server.ssl.trust-store-password=123456
#信任库类型
server.ssl.trust-store-type=PKCS12

3、拷贝相应密钥到resources目录下

4、pom.xml配置文件添加配置项如下

<resources><resource><directory>src/main/java</directory><includes><include>**/*.xml</include><include>ssl/server-one.p12</include><include>ice-ca/trustKeys.p12</include></includes></resource><resource><directory>src/main/resources</directory></resource>
</resources>

六、配置RestTemplate工具类

1、pom添加httpclient支持

        <dependency><groupId>org.apache.httpcomponents</groupId><artifactId>httpclient</artifactId><version>4.5.13</version></dependency>

2、设置RestTemplate支持https请求

import lombok.extern.slf4j.Slf4j;
import org.apache.http.conn.ssl.NoopHostnameVerifier;
import org.apache.http.conn.ssl.SSLConnectionSocketFactory;
import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClients;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.client.HttpComponentsClientHttpRequestFactory;
import org.springframework.web.client.RestTemplate;import javax.net.ssl.*;
import java.io.FileNotFoundException;
import java.io.IOException;
import java.io.InputStream;
import java.security.*;
import java.security.cert.CertificateException;
import java.time.Duration;/*** HTTPS通信双向认证工具类** @author xiwh*/
@Configuration
@Slf4j
public class RestTemplateConfig {@Value("${server.ssl.key-store-type}")String clientKeyType;@Value("${server.ssl.key-store}")String clientPath;@Value("${server.ssl.key-store-password}")String clientPass;@Value("${server.ssl.trust-store-type}")String trustKeyType;@Value("${server.ssl.trust-store}")String trustPath;@Value("${server.ssl.trust-store-password}")String trustPass;@Beanpublic RestTemplate restTemplate() {RestTemplate restTemplate = null;try {HttpComponentsClientHttpRequestFactory requestFactory = new HttpComponentsClientHttpRequestFactory();// 客户端证书类型KeyStore clientStore = KeyStore.getInstance(clientKeyType);// 加载客户端证书,即自己的私钥InputStream keyStream = getClass().getClassLoader().getResourceAsStream(clientPath);clientStore.load(keyStream, clientPass.toCharArray());// 创建密钥管理工厂实例KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());// 初始化客户端密钥库keyManagerFactory.init(clientStore, clientPass.toCharArray());KeyManager[] keyManagers = keyManagerFactory.getKeyManagers();// 创建信任库管理工厂实例TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());KeyStore trustStore = KeyStore.getInstance(trustKeyType);InputStream trustStream = getClass().getClassLoader().getResourceAsStream(trustPath);// 加载信任证书trustStore.load(trustStream, trustPass.toCharArray());// 初始化信任库trustManagerFactory.init(trustStore);//双向校验 校验服务端证书是否在信任库TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();// 建立TLS连接SSLContext sslContext = SSLContext.getInstance("TLS");// 初始化SSLContextsslContext.init(keyManagers, trustManagers, new SecureRandom());// INSTANCE 忽略域名检查SSLConnectionSocketFactory sslConnectionSocketFactory = new SSLConnectionSocketFactory(sslContext, NoopHostnameVerifier.INSTANCE);// 创建httpClient对象CloseableHttpClient httpclient = HttpClients.custom().setSSLSocketFactory(sslConnectionSocketFactory).setSSLHostnameVerifier(new NoopHostnameVerifier()).build();requestFactory.setHttpClient(httpclient);requestFactory.setConnectTimeout((int) Duration.ofSeconds(15).toMillis());restTemplate = new RestTemplate(requestFactory);} catch (KeyManagementException | FileNotFoundException | NoSuchAlgorithmException e) {e.printStackTrace();} catch (KeyStoreException | CertificateException | UnrecoverableKeyException | IOException e) {e.printStackTrace();}return restTemplate;}}

3、测试代码

  • 服务器1(server-one)请求接口代码
    @Testpublic void testHttps() {String url = "https://127.0.0.1:8077/httpsTest";ResponseEntity<String> forEntity = restTemplate.getForEntity(url, String.class);System.out.println(forEntity.toString());}
  • 服务器2(server-two)controller代码
    /*** https测试方法** @return*/@ApiOperation("https测试方法")@GetMapping("/httpsTest")public Result httpsTest() {log.info("服务器server-two响应成功!");return Result.SUCCESS();}
  • 服务器2(server-two)执行结果
<200,{"code":1,"success":true,"msg":"操作成功","data":null}>

七、Nginx配置ssl证书

server  {#监听前端访问端口listen       9028 ssl;#服务器地址server_name  47.104.239.238;charset utf-8;client_max_body_size 20M;#双向认证 开启校验客户端#ssl_verify_client on;#server公钥 或 阿里云证书 一般是crt文件ssl_certificate         /home/keytool/server.pem;#server私钥 或 阿里云证书 一般是key文件ssl_certificate_key     /home/keytool/server.key;#双向认证 客户端公钥#ssl_client_certificate  /home/keytool/server.pem;#支持ssl协议版本ssl_protocols TLSv1 TLSv1.1 TLSv1.2;#配置服务器可使用的加密算法ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;# 指定服务器密码算法在优先于客户端密码算法时,使用 SSLv3 和 TLS 协议ssl_prefer_server_ciphers on;ssl_session_timeout 5m;#前端请求后端接口location  /prod-api/ {proxy_pass https://47.104.239.238:8077/;proxy_set_header Host $proxy_host;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_set_header X-Nginx-Proxt true;proxy_set_header HTTP_X_FORWORDED_FOR $remote_addr;proxy_ssl_certificate     /home/keytool/server.pem;proxy_ssl_certificate_key /home/keytool/server.key;proxy_ssl_protocols       TLSv1 TLSv1.1 TLSv1.2 SSLv2 SSLv3 ;proxy_ssl_ciphers         ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;proxy_ssl_session_reuse  off;proxy_ssl_server_name on;proxy_redirect off;}#前端包目录location / {root   /mnt/project/sinotmemc/dist;try_files $uri $uri/ /index.html;index  index.html index.htm;}error_page   500 502 503 504  /50x.html;location = /50x.html {root   html;}}

参考:

spring boot 使用RestTemplate通过证书认证访问https实现SSL请求_踩到最基点的博客-CSDN博客

转载请注明出处:BestEternity亲笔。

这篇关于springboot基于keytool实现https的双向认证的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/541755

相关文章

Spring Boot整合Redis注解实现增删改查功能(Redis注解使用)

Spring Boot整合Redis注解实现增删改查功能(Redis注解使用)

《SpringBoot整合Redis注解实现增删改查功能(Redis注解使用)》文章介绍了如何使用SpringBoot整合Redis注解实现增删改查功能,包括配置、实体类、Repository、Se... 目录配置Redis连接定义实体类创建Repository接口增删改查操作示例插入数据查询数据删除数据更
阅读更多...
Java Lettuce 客户端入门到生产的实现步骤

Java Lettuce 客户端入门到生产的实现步骤

《JavaLettuce客户端入门到生产的实现步骤》本文主要介绍了JavaLettuce客户端入门到生产的实现步骤,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要... 目录1 安装依赖MavenGradle2 最小化连接示例3 核心特性速览4 生产环境配置建议5 常见问题
阅读更多...
Java使用Swing生成一个最大公约数计算器

Java使用Swing生成一个最大公约数计算器

《Java使用Swing生成一个最大公约数计算器》这篇文章主要为大家详细介绍了Java使用Swing生成一个最大公约数计算器的相关知识,文中的示例代码讲解详细,感兴趣的小伙伴可以了解一下... 目录第一步:利用欧几里得算法计算最大公约数欧几里得算法的证明情形 1:b=0情形 2:b>0完成相关代码第二步:加
阅读更多...
linux ssh如何实现增加访问端口

linux ssh如何实现增加访问端口

《linuxssh如何实现增加访问端口》Linux中SSH默认使用22端口,为了增强安全性或满足特定需求,可以通过修改SSH配置来增加或更改SSH访问端口,具体步骤包括修改SSH配置文件、增加或修改... 目录1. 修改 SSH 配置文件2. 增加或修改端口3. 保存并退出编辑器4. 更新防火墙规则使用uf
阅读更多...
Java 的ArrayList集合底层实现与最佳实践

Java 的ArrayList集合底层实现与最佳实践

《Java的ArrayList集合底层实现与最佳实践》本文主要介绍了Java的ArrayList集合类的核心概念、底层实现、关键成员变量、初始化机制、容量演变、扩容机制、性能分析、核心方法源码解析、... 目录1. 核心概念与底层实现1.1 ArrayList 的本质1.1.1 底层数据结构JDK 1.7
阅读更多...
Java Map排序如何按照值按照键排序

Java Map排序如何按照值按照键排序

《JavaMap排序如何按照值按照键排序》该文章主要介绍Java中三种Map(HashMap、LinkedHashMap、TreeMap)的默认排序行为及实现按键排序和按值排序的方法,每种方法结合实... 目录一、先理清 3 种 Map 的默认排序行为二、按「键」排序的实现方式1. 方式 1:用 TreeM
阅读更多...
Java中流式并行操作parallelStream的原理和使用方法

Java中流式并行操作parallelStream的原理和使用方法

《Java中流式并行操作parallelStream的原理和使用方法》本文详细介绍了Java中的并行流(parallelStream)的原理、正确使用方法以及在实际业务中的应用案例,并指出在使用并行流... 目录Java中流式并行操作parallelStream0. 问题的产生1. 什么是parallelS
阅读更多...
C++中unordered_set哈希集合的实现

C++中unordered_set哈希集合的实现

《C++中unordered_set哈希集合的实现》std::unordered_set是C++标准库中的无序关联容器,基于哈希表实现,具有元素唯一性和无序性特点,本文就来详细的介绍一下unorder... 目录一、概述二、头文件与命名空间三、常用方法与示例1. 构造与析构2. 迭代器与遍历3. 容量相关4
阅读更多...
Java中Redisson 的原理深度解析

Java中Redisson 的原理深度解析

《Java中Redisson的原理深度解析》Redisson是一个高性能的Redis客户端,它通过将Redis数据结构映射为Java对象和分布式对象,实现了在Java应用中方便地使用Redis,本文... 目录前言一、核心设计理念二、核心架构与通信层1. 基于 Netty 的异步非阻塞通信2. 编解码器三、
阅读更多...
C++中悬垂引用(Dangling Reference) 的实现

C++中悬垂引用(Dangling Reference) 的实现

《C++中悬垂引用(DanglingReference)的实现》C++中的悬垂引用指引用绑定的对象被销毁后引用仍存在的情况,会导致访问无效内存,下面就来详细的介绍一下产生的原因以及如何避免,感兴趣... 目录悬垂引用的产生原因1. 引用绑定到局部变量,变量超出作用域后销毁2. 引用绑定到动态分配的对象,对象
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2