likes
comments
collection
share

SpringBoot如何配置Https访问

作者站长头像
站长
· 阅读数 15

众所周知,越来越多的服务在使用https协议进行交互,而对于Java项目来说,使用Spring Boot搭建服务已然是默认的选项,而springboot内置的tomcat容器,默认是使用http协议的,那如何将它转换为https协议?

理论

在我们转换http协议到https协议前,我们先来简单了解下https协议的前世今生。 httpsHypertext Transfer Protocol Secure 的首字母缩写,是在http协议的基础之上,加入了 SSL/TLS 协议,准确的说法是 TLS1.2 或者 TLS1.3 协议。这里,我们一起看下 SSL/TLS 协议的发展历史:

SpringBoot如何配置Https访问

1994年,网景公司 (Netscape) 发明了 SSL 协议。随着互联网的发展,一个安全的传输协议变的越来越重要和越被需要,不过由于协议的安全缺陷,1.0版本并未正式发布

1995年2月,其2.0版本,作为SSL协议的第一版正式协议发布。在2011年,IETF(Internet Engineering Task Force)组织,宣布:2.0版本由于包含众多缺陷被废弃。比如:使用 MD5 进行消息认证,缺少握手机制,使用相同的密钥进行加密、解密,等等

1996年11月,3.0版本正式发布。在2015年7月,IETF 再一次宣布,3.0版本过时被废弃,开始全面拥抱 TLS 协议

1999年1月,在 IETF 接手了 Netsccape 的 SSL 协议后,将其重命名为 TLS,并正式发布其第一个版本 TLS 1.0。但此版本,事实上只是对 SSL 3.0版本进行适当改进

2006年4月,TLS 1.1版本正式发布。该版本继续对 TLS 1.0版本进行修补。可以看出,对于 TLS 1.0及1.1版本,其本质上是 SSL 协议到 TLS 协议的过渡版本。在2018年10月,苹果、谷歌、微软、Mozilla基金会共同宣布 TLS 1.0及1.1版本,将预计在2020年3月过期,并于2021年3月正式宣布,这两个版本过期

2008年8月,TLS 1.2版本正式发布。该版本也是目前互联网的主流版本之一,改动包括了增加更多加密套件等特性。目前还没有官方说明此版本的过期时间,但是预计在2026年左右,将会宣布。

2018年8月,TLS 1.3版本正式发布。截止到现在,也是该协议的最新版本。IETF 用时10年时间,通过28项草案,最终完成该协议。协议包含了,移除不安全的技术比如 SHA-1, MD5, DES 等,并在性能上也进行了优化。目前所有的现代浏览器都支持该协议

实践

在我们对 SSL/TLS 协议有了基本了解后,我们下一步,就通过 JDK 自带的工具 keytool 生成一个带有证书的 keystore。

本文演示的JDK版本为17,Spring Boot 版本为3.1.0,其他版本同理。

在使用 keytool 时,其实并不需要死记硬背命令、参数,通过 --help 可以很容易的理解,每个命令需要哪些参数,比如:

SpringBoot如何配置Https访问

而对于诸如 keyalg, storetype 等参数支持的选项,可以查看 JDK 源码或者 Oracle 官方文档: 参数列表,比如 -keyalg 支持的加密算法类型:

SpringBoot如何配置Https访问

接下来,我们执行如下命令生成一个包含私钥的 keystore

keytool -genkeypair -alias springboot -keyalg EC -keysize 256 -validity 365 -keypass 123456 -keystore EC_keystore.jks -storepass 123456 -storetype jks

SpringBoot如何配置Https访问

参数解释:

-alias springboot // 指定生成的 keystore 中 entry 也就是证书的别名
-keyalg EC // 指定加密算法,RSA 是大家最常用的,这里使用其它算法演示
-keysize 256 // 指定加密算法的长度,不同算法,对应着不同的长度限制,比如 DSA,长度不能超过2048
-validity 365 // 指定证书的有效期
-keypass 123456 // 指定证书的密码
-keystore EC_keystore.jks // 指定 keystore 文件名,默认路径就是执行命令行的当前路径
-storepass 123456 // 指定 keystore 的密码
-storetype jks // 指定 keystore 的类型

在我们生成 keystore 的过程中,keytool 会根据参数做提示,比如:

Warning:JKS 密钥库使用专用格式。建议使用 "keytool -importkeystore -srckeystore EC_keystore.jks -destkeystore EC_keystore.jks -deststoretype pkcs12" 迁移到行业标准格式 PKCS12。

所以我们可以根据建议,做适当调整。

keystore 有了之后,将其拷贝到 springboot 项目中,并在启动的日志中,观察到,springboot 已经成功加载了 keystore:

SpringBoot如何配置Https访问

SpringBoot如何配置Https访问

打开浏览器,访问 rest url,我们可以看到,浏览器已经对我们的请求地址进行了拦截,并告知不安全的地址,因为这个证书是我们通过keytool自签名生成的,并不是浏览器认可的CA:

SpringBoot如何配置Https访问

点击 Processeds,就可以看到服务端的返回数据了。

SpringBoot如何配置Https访问

总结

其实将springboot配置成https的方式很简单,重点是其背后的 SSL/TLS 协议,涉及到的对称加密、非对称加密、证书、CA,在下一篇中,我们将通过 wireshark,对基于 https 协议的交互进行抓包,来了解针对 https 请求,tcp 都做了什么。