springboot配置https安全連接的方法

更新時(shí)間：2021年01月05日 08:53:43 作者：Bolck_Kevin

這篇文章主要介紹了springboot配置https安全連接的方法，文中通過(guò)示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧

1.項(xiàng)目上線，以前沒(méi)有配置過(guò)https的安全連接。。。剛剛申請(qǐng)了一個(gè)https免費(fèi)證書。（我使用的是unbantu16系統(tǒng)）

Let's Encrypt 是屬于介紹性質(zhì)的，而真正用到的工具是 Certbot，去 https://certbot.eff.org/ 下載合適自己系統(tǒng)的Certbot。

2. 下載Certbot

sudo apt-get install software-properties-common
sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
sudo apt-get install certbot

3.配置 nginx

location ^~ /.well-known/ {
    alias /var/www/html;
    default_type "text/plain";
    allow all;
  }

4.https://certbot.eff.org/lets-encrypt/ubuntuxenial-nginx（原網(wǎng)連接）。

5.cd /etc/nginx/sites-available/default進(jìn)行配置：（如下）

server {
 # 訪問(wèn)http 跳轉(zhuǎn)到https
 listen 80;
 server_name example.com;
 rewrite ^(.*) https://$server_name$1 permanent;
}
 
server {
 listen 443 ssl;
 server_name example.com;
 index index.php index.html index.htm;
 
 #####SSL#####
 
 location ^~ /.well-known/ {
   alias /var/www/html;
   default_type "text/plain";
   allow all;
 }
 
 ssl_certificate   /etc/letsencrypt/live/example.com/fullchain.pem;
 ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
 
 ssl_session_timeout 1d;
 ssl_session_cache  shared:SSL:50m;
 ssl_session_tickets on;
 ssl_protocols    TLSv1 TLSv1.1 TLSv1.2;
 
 ssl_prefer_server_ciphers on;
 
 # 推薦使用的ssl_ciphers值: https://wiki.mozilla.org/Security/Server_Side_TLS;
 ssl_ciphers
'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:AES:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK';
 
 
 #####SSL#####
 
}

6.免費(fèi)的會(huì)有3個(gè)月的使用期。需要3個(gè)月更新一次。

# 更新證書
certbot renew --dry-run
 
# 如果不需要返回的信息,可以用靜默方式:
certbot renew --quiet

7.下面需要生成java要集成的jks證書。

1).openssl pkcs12 -export -in fullchain.pem -inkey privkey.pem -out fullchain_and_key.p12 -name tomcat

執(zhí)行完第一步需要輸入倆個(gè)密碼記住項(xiàng)目里需要用到。

2).keytool -importkeystore -deststorepass '密碼' -destkeypass '密碼' -destkeystore MyDSKeyStore.jks -srckeystore fullchain_and_key.p12 -srcstoretype PKCS12 -srcstorepass '密碼' -alias tomcat

8.最終生成項(xiàng)目中需要用到的jks證書。。。

9.springboot項(xiàng)目集成：

1）.項(xiàng)目結(jié)構(gòu)

application.yml中放的是下面的配置：

server:
 port: 9233
 ssl:
 key-store: classpath:MyDSKeyStore.jks
 key-store-password: 密碼
 key-password: 密碼

上述的所有密碼是可以設(shè)置成一樣的。當(dāng)然也可以不一樣（不一樣的話得記住那個(gè)密碼是那個(gè)）。我這里為了省事，設(shè)置成一樣的了。。

2）、在啟動(dòng)類里面需要加入這倆個(gè)方法。

  @Bean
  public EmbeddedServletContainerFactory servletContainer(){
    TomcatEmbeddedServletContainerFactory tomcat=new TomcatEmbeddedServletContainerFactory(){
      @Override
      protected void postProcessContext(Context context) {
        SecurityConstraint securityConstraint=new SecurityConstraint();
        securityConstraint.setUserConstraint("CONFIDENTIAL");//confidential
        SecurityCollection collection=new SecurityCollection();
        collection.addPattern("/*");
        securityConstraint.addCollection(collection);
        context.addConstraint(securityConstraint);
      }
    };
    tomcat.addAdditionalTomcatConnectors(httpConnector());
    return tomcat;
  }

  @Bean
  public Connector httpConnector(){
    Connector connector=new Connector("org.apache.coyote.http11.Http11NioProtocol");
    connector.setScheme("http");
    connector.setPort(8080);
    connector.setSecure(false);
    connector.setRedirectPort(9233);
    return connector;
  }

10.成功