SpringBoot服务间使用自签名证书实现https双向认证

以服务server-one和server-two之间使用RestTemplate以https调用为例

一、生成密钥

需要生成server-one和server-two的客户端密钥和一个信任库密钥

1.生成TrustStore(信任库)

  keytool -genkey -alias trustkeys -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore trustKeys.p12 -validity 36500



2.生成server-one客户端密钥

  keytool -genkey -alias server-one -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore server-one.p12 -validity 36500

3.生成server-two客户端密钥

  keytool -genkey -alias server-two -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore server-two.p12 -validity 36500

4.导出客户端公钥添加到信任库

 4.1 导出server-one的公钥

     keytool -keystore server-one.p12 -export -alias server-one -file server-one-publicKey.cer

 4.2 导出server-two的公钥

     keytool -keystore server-two.p12 -export -alias server-two -file server-two-publicKey.cer

5.添加客户端公钥到信任库

  keytool -import -alias server-one -v -file server-one-publicKey.cer -keystore trustKeys.p12

  keytool -import -alias server-two -v -file server-two-publicKey.cer -keystore trustKeys.p12

以上2、3、4和5步骤填写信息与1基本相同,不再重复截图展示

部分命令解释

genkey 表示要创建一个新的密钥。

alias 表示 keystore 的别名。

keyalg 表示使用的加密算法是 RSA ,一种非对称加密算法。

keysize 表示密钥的长度。

keystore 表示生成的密钥存放位置。

validity 表示密钥的有效时间,单位为天。

二、配置SpringBoot支持https

1、拷贝相应密钥到resources

2、客户端配置文件application.properties对应的配置项

# 开启ssl

server.ssl.enabled=true

server.ssl.client-auth=need

#server.ssl.protocol=TLS

server.ssl.key-store=classpath:ssl/server-one.p12

#server.ssl.key-password=123456

server.ssl.key-store-password=123456

server.ssl.key-store-type=PKCS12

server.ssl.keyAlias=server-one

server.ssl.trust-store=classpath:ice-ca/trustKeys.p12

server.ssl.trust-store-password=123456

server.ssl.trust-store-type=PKCS12

3、服务端配置文件application.properties对应的配置项

# 开启ssl

server.ssl.enabled=true

server.ssl.client-auth=need

#server.ssl.protocol=TLS

server.ssl.key-store=classpath:ssl/server-two.p12

#server.ssl.key-password=123456

server.ssl.key-store-password=123456

server.ssl.key-store-type=PKCS12

server.ssl.keyAlias=server-two

server.ssl.trust-store=classpath:ice-ca/trustKeys.p12

server.ssl.trust-store-password=123456

server.ssl.trust-store-type=PKCS12

4、pom.xml配置文件添加配置项如下

<resources>

    <resource>

        <directory>src/main/java</directory>

        <includes>

            <include>**/*.xml</include>

            <include>ssl/server-one.p12</include>

            <include>ice-ca/trustKeys.p12</include>

        </includes>

    </resource>

    <resource>

        <directory>src/main/resources</directory>

    </resource>

</resources>

5、启动服务并验证https

浏览器访问:https://localhost:8970/platformdictionary/queryDeviceType

此时无法访问

单击server-one.p12或server-two.p12为浏览器安装证书

安装后再次访问

点击确定后即可访问到页面

6、配置RestTemplate

pom添加httpclient支持

<dependency>

    <groupId>org.apache.httpcomponents</groupId>

    <artifactId>httpclient</artifactId>

    <version>4.5.13</version>

</dependency>

设置RestTemplate支持https请求

package com.hollysys.smartfactory.icedata.config;

import lombok.extern.slf4j.Slf4j;

import org.apache.http.conn.ssl.NoopHostnameVerifier;

import org.apache.http.conn.ssl.SSLConnectionSocketFactory;

import org.apache.http.impl.client.CloseableHttpClient;

import org.apache.http.impl.client.HttpClients;

import org.springframework.beans.factory.annotation.Value;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.http.client.HttpComponentsClientHttpRequestFactory;

import org.springframework.web.client.RestTemplate;

import javax.net.ssl.*;

import java.io.FileNotFoundException;

import java.io.IOException;

import java.io.InputStream;

import java.security.*;

import java.security.cert.CertificateException;

import java.time.Duration;

/**

 * Created by chendy on 2021/12/18 15:47

 */

@Configuration

@Slf4j

public class RestTemplateConfig {

    @Value("${server.ssl.key-store-type}")

    String clientKeyType;

    @Value("${server.ssl.key-store}")

    String clientPath;

    @Value("${server.ssl.key-store-password}")

    String clientPass;

    @Value("${server.ssl.trust-store-type}")

    String trustKeyType;

    @Value("${server.ssl.trust-store}")

    String trustPath;

    @Value("${server.ssl.trust-store-password}")

    String trustPass;

    @Bean

    public RestTemplate restTemplate() {

        RestTemplate restTemplate = null;

        try {

            HttpComponentsClientHttpRequestFactory requestFactory = new HttpComponentsClientHttpRequestFactory();

            // 客户端证书类型

            KeyStore clientStore = KeyStore.getInstance(clientKeyType);

            // 加载客户端证书,即自己的私钥

            InputStream keyStream = getClass().getClassLoader().getResourceAsStream(clientPath);

            clientStore.load(keyStream, clientPass.toCharArray());

            // 创建密钥管理工厂实例

            KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());

            // 初始化客户端密钥库

            keyManagerFactory.init(clientStore, clientPass.toCharArray());

            KeyManager[] keyManagers = keyManagerFactory.getKeyManagers();

            // 创建信任库管理工厂实例

            TrustManagerFactory trustManagerFactory = TrustManagerFactory

                    .getInstance(TrustManagerFactory.getDefaultAlgorithm());

            KeyStore trustStore = KeyStore.getInstance(trustKeyType);

            InputStream trustStream = getClass().getClassLoader().getResourceAsStream(trustPath);

            trustStore.load(trustStream, trustPass.toCharArray());

            // 初始化信任库

            trustManagerFactory.init(trustStore);

            TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();

            // 建立TLS连接

            SSLContext sslContext = SSLContext.getInstance("TLS");

            // 初始化SSLContext

            sslContext.init(keyManagers, trustManagers, new SecureRandom());

            // INSTANCE 忽略域名检查

            SSLConnectionSocketFactory sslConnectionSocketFactory = new SSLConnectionSocketFactory(sslContext, NoopHostnameVerifier.INSTANCE);

            CloseableHttpClient httpclient = HttpClients

                    .custom()

                    .setSSLSocketFactory(sslConnectionSocketFactory)

                    .setSSLHostnameVerifier(new NoopHostnameVerifier())

                    .build();

            requestFactory.setHttpClient(httpclient);

            requestFactory.setConnectTimeout((int) Duration.ofSeconds(15).toMillis());

            restTemplate = new RestTemplate(requestFactory);

        } catch (KeyManagementException | FileNotFoundException | NoSuchAlgorithmException e) {

            e.printStackTrace();

        } catch (KeyStoreException | CertificateException | UnrecoverableKeyException | IOException e) {

            e.printStackTrace();

        }

        return restTemplate;

    }

}

7、添加测试代码

server-one中的test添加代码

@Test

public void testHello(){

    String url = "https://127.0.0.1:8970/platformdictionary/queryDeviceType";

    ResponseEntity<String> forEntity = restTemplate.getForEntity(url, String.class);

    System.out.println(forEntity.toString());

}

server-two中的controller添加代码

@RestController

public class ServerTwoController {

    @RequestMapping("/get")

    public String get() {

        return "双向认证成功";

    }

}

测试执行结果

<200,双向认证成功,[Content-Type:"text/plain;charset=UTF-8", Content-Length:"3", Date:"Fri, 21 May 2021 08:12:51 GMT", Keep-Alive:"timeout=60", Connection:"keep-alive"]>

SpringBoot服务间使用自签名证书实现https双向认证的更多相关文章

  1. JDK自带工具keytool生成ssl证书 和 HTTPS双向认证

    创建证书(第一步) keytool -genkey -alias "baidu" -keypass "123456" -keystore "D:/ba ...

  2. iOS 用自签名证书实现 HTTPS 请求的原理

    在16年的WWDC中,Apple已表示将从2017年1月1日起,所有新提交的App必须强制性应用HTTPS协议来进行网络请求.默认情况下非HTTPS的网络访问是禁止的并且不能再通过简单粗暴的向Info ...

  3. AFNetWorking3.0使用 自签名证书的https请求

    前几日,项目组出于安全角度的考虑,要求项目中的请求使用https请求,因为是企业内部使用的app,因此使用了自签名的证书,而自签名的证书是不受信任的,所以我们就需要自己来做证书的验证,包括服务器验证客 ...

  4. https双向认证訪问管理后台,採用USBKEY进行系统訪问的身份鉴别,KEY的证书长度大于128位,使用USBKEY登录

    近期项目需求,须要实现用USBKEY识别用户登录,採用https双向认证訪问管理后台管理界面,期间碰到过一些小问题,写出来给大家參考下. 1:前期准备工作 USBKEY 硬件:我买的是飞天诚信 epa ...

  5. iOS使用自签名证书实现HTTPS请求

    概述 在16年的WWDC中,Apple已表示将从2017年1月1日起,所有新提交的App必须强制性应用HTTPS协议来进行网络请求. 默认情况下非HTTPS的网络访问是禁止的并且不能再通过简单粗暴的向 ...

  6. 生成自签名证书-开启https

    1.生成CA证书 # 生成 CA 私钥 openssl genrsa -out ca.key 2048 # X.509 Certificate Signing Request (CSR) Manage ...

  7. tomcat使用自签名证书实现https加密访问

    部署好java环境和tomcat之后 执行以下语句 #生成证书,keytool是java工具命令,-genkey生成证书,-alias证书名称,-keyalg应该是指算法,-keystore是证书存储 ...

  8. Tomcat服务器配置https双向认证(使用keytool生成证书)

    一,HTTPS原理   1,HTTP.HTTPS.SSL.TLS介绍与相互关系 (1)HTTP:平时浏览网页时候使用的一种协议.HTTP协议传输的数据都是未加密的(明文),因此使用HTTP协议传输隐私 ...

  9. nginx 自签名证书 配置 https

    最近在研究nginx,整好遇到一个需求就是希望服务器与客户端之间传输内容是加密的,防止中间监听泄露信息,但是去证书服务商那边申请证书又不合算,因为访问服务器的都是内部人士,所以自己给自己颁发证书,忽略 ...

随机推荐

  1. Part 18 $http service in AngularJS

    In Angular there are several built in services. $http service is one of them. In this video, we will ...

  2. AsExpandable EF多条件查询

    我个人学习新技术有一个方法,如果遇到问题会根据以前的经验来寻找一些类似的解决方法.有人会说,如果这个问题在你的学习或者工作生涯中都没有遇到过呢?很简单,通过搜索资料或查阅相关书籍学习别人的经验. 在如 ...

  3. 多线程合集(一)---信号量,锁,以及并发编程,自定义任务调度和awaiter

    引言 在后端开发中,多线程技术总是后端开发中常用到的技术,那什么是多线程呢,在操作系统中,程序运行的最小单位是进程,那线程则是进程里面的最小单位,关系是一对多的关系,而线程的调度,是由操作系统的时间片 ...

  4. [noi31]MST

    定义dp[i]表示当前连通块状态为i的方案数(状态记录该状态每一个连通块的大小),那么从小到大枚举每条边,考虑这条边在不在最小生成树上: 1. 如果不在最小生成树上,那么这条边有$\sum_{i=1} ...

  5. CF1264D1 Beautiful Bracket Sequence (easy version)

    考虑在一个确定的括号序列中,我们可以枚举中间位置,按左右最长延伸出去的答案计算. 我们很自然的思考,我们直接维护左右两边,在删除一些字符后能够延伸的最长长度. 我们设\(f_{i,j}\)为\(i\) ...

  6. 21-Add Two Numbers-Leetcode

    You are given two linked lists representing two non-negative numbers. The digits are stored in rever ...

  7. Scrapy爬虫框架的安装和使用

    Scrapy是一个十分强大的爬虫框架,依赖的库比较多,至少需要依赖的库有Twisted 14.0.lxml 3.4和pyOpenSSL 0.14.在不同的平台环境下,它所依赖的库也各不相同,所以在安装 ...

  8. Volatile的3大特性

    Volatile volatile是Java虚拟机提供的轻量级的同步机制 3大特性 1.保证可见性 当多个线程同时访问同一个变量时,一个线程修改了这个变量的值,其他线程能够立即看得到修改的值 案例代码 ...

  9. 1小时学会Git玩转GitHub

    版权声明:原创不易,本文禁止抄袭.转载,侵权必究! 本次教程建议一边阅读一边用电脑实操 目录 一.了解Git和Github 1.1 什么是Git 1.2 什么是版本控制系统 1.3 什么是Github ...

  10. 零基础学习java------day8------javabean编写规范,继承,static关键字,代码块,单例设计模式

    0. 今日内容提要 1. javabean书写规范 javabean:一个普通的类,用来描述事物的类,里面不包含任何的业务逻辑,只是用来存储数据. 比如:Teacher,Student,Mobile. ...