springboot Httpsspringbootspring 整合使用

[SpringBoot]实战配置Https证书和RestTemp

2021-07-29  本文已影响0人  AbstractCulture

需求-Story

项目上需要做文件的加密传输,考虑到安全性,舍弃了sftp的传送方案(22端口容易被攻击);又由于项目性质,无法采用云存储,因此决定走https加密传输的方案.
其中,要保证安全,则需要做到几点来保证:

使用AES加密流对文件进行加密

使用https对传输通道进行加密

使用RSA对请求进行认证

信息传输通道加密-Https

关于https的理论有很多,我们今天只聊实战。
想要应用支持https,需要申请证书,然后跟应用进行配置。
其中,关于认证又分为单向认证双向认证,笔者一开始也疑惑,什么是单向认证和双向认证?

用一张图来解释:

双向认证

ok,废话不多说,开始干!
我们今天采用的是JDK自带的keytool来生成证书.

使用keytool生成认证证书

1.1 以jks格式生成服务器端包含Public key和Private Key的keystore文件
keytool -genkey -alias serverA -keystore D:\tmp\key\serverKeystore.jks -keypass javaee123* -storepass javaee123* -keyalg RSA -keysize 512 -validity 3650 -v -dname “CN = 127.0.0.1,O = BTC,DC = Server Https,DC = CN,OU = China”  

1.2. 从keystore中导出别名为server的服务端证书
keytool -export -alias serverA -keystore D:\tmp\key\serverKeystore.jks -storepass javaee123* -file server.cer

1.3. 将server.cer导入客户端的信任证书库clientTruststore.jks。
keytool -import -alias trustServer -file server.cer -keystore clientTruststore.jks -storepass javaee123*

////////////////////////////////////////////////////////////////////////////////////////////////////////////

1.1. 以jks格式生成服务器端包含Public key和Private Key的keystore文件。
keytool -genkey -alias clientA -keystore D:\tmp\key\clientKeystore.jks -keypass javaee123* -storepass javaee123* -keyalg RSA -keysize 512 -validity 3650 -v -dname “CN = 127.0.0.1,O = BTC,DC = Client Https,DC = CN,OU = China”

1.2. 从keystore中导出别名为client的客户端证书.
keytool -export -alias clientA -keystore D:\tmp\key\clientKeystore.jks -storepass javaee123* -file client.cer

1.3. 将client.cer导入服务端的信任证书库serverTruststore.jks。
keytool -import -alias trustClient -file client.cer -keystore serverTruststore.jks -storepass javaee123*

服务器端: serverKeystore.jks serverTruststore.jks
客户端: clientKeystore.jks clientTruststore.jks

创建一个文件夹,执行上面6条指令生成证书即可.你会得到这样一些文件:

jks

在工程中对https进行配置

server

将server的jks文件上传到resource目录
resource
在applicaiton.yml配置证书
server:
  port: 9000
  tomcat:
    uri-encoding: UTF-8
  ssl:
    key-store: classpath:serverKeystore.jks
    key-store-password: javaee123*
    key-store-type: JKS
    trust-store: classpath:serverTruststore.jks
    trust-store-password: javaee123*
    trust-store-type: JKS
    client-auth: need

client

将client相关证书放到resource下
resource
配置RestTemplate的ClientHttpRequestFactory
package com.tea.modules.config;

import lombok.extern.slf4j.Slf4j;
import org.apache.http.client.HttpClient;
import org.apache.http.conn.ssl.TrustStrategy;
import org.apache.http.impl.client.HttpClients;
import org.apache.http.ssl.SSLContextBuilder;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.client.ClientHttpRequestFactory;
import org.springframework.http.client.HttpComponentsClientHttpRequestFactory;
import org.springframework.http.client.SimpleClientHttpRequestFactory;
import org.springframework.http.converter.StringHttpMessageConverter;
import org.springframework.util.ResourceUtils;
import org.springframework.web.client.RestTemplate;

import javax.net.ssl.SSLContext;
import java.io.FileNotFoundException;
import java.io.IOException;
import java.nio.charset.StandardCharsets;
import java.security.KeyManagementException;
import java.security.KeyStoreException;
import java.security.NoSuchAlgorithmException;
import java.security.UnrecoverableKeyException;
import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;

/**
 * com.jay.company.file.config
 *
 * @author xiejiemin
 * @create 2020/9/28
 */
@Configuration
@Slf4j
public class RestTemplateConfig {

    @Bean()
    public RestTemplate restTemplate(ClientHttpRequestFactory httpComponentsClientHttpRequestFactory) {
        RestTemplate restTemplate = new RestTemplate(httpComponentsClientHttpRequestFactory);
        restTemplate.getMessageConverters().set(1, new StringHttpMessageConverter(StandardCharsets.UTF_8));
        log.info("loading restTemplate");
        return restTemplate;
    }

    @Bean("httpComponentsClientHttpRequestFactory")
    public ClientHttpRequestFactory httpComponentsClientHttpRequestFactory() throws IOException, UnrecoverableKeyException, CertificateException, NoSuchAlgorithmException, KeyStoreException, KeyManagementException {
        final String allPassword = "123ABCdef*";
        TrustStrategy acceptingTrustStrategy = (X509Certificate[] chain, String authType) -> true;
        SSLContext sslContext = SSLContextBuilder
                .create()
                .loadKeyMaterial(new ClassPathResource("clientKeystore.jks").getURL(),
                        allPassword.toCharArray(), allPassword.toCharArray())
                .loadTrustMaterial(new ClassPathResource("clientTruststore.jks").getURL(), allPassword.toCharArray())
                .loadTrustMaterial(null, acceptingTrustStrategy)
                .build();
        HttpClient client = HttpClients.custom()
                .setSSLContext(sslContext)
                .build();
        HttpComponentsClientHttpRequestFactory requestFactory = new HttpComponentsClientHttpRequestFactory(client);
        return requestFactory;
    }
}
需要导入的jar
        <dependency>
            <groupId>org.apache.httpcomponents</groupId>
            <artifactId>httpclient</artifactId>
            <version>4.5.6</version>
        </dependency>

需要注意的点

  1. 生成证书的时候,用户名要设置成server的ip地址.比如我这里的127.0.0.1
  2. 使用ResourceUtils.getFile这种方式本地调试是没问题的,但是项目部署的时候,会产生报错,其中的原因是因为项目经过编译后,路径有所改变,需要用ClassPathResource这种方式来读取.(更新时间:2021-09-06)
上一篇下一篇

猜你喜欢

热点阅读