Nginx/Tomcat/SpringBoot配置自生成SSL证书

生成与部署自签名证书:OpenSSLvsJDK工具
原创 已于 2024-02-18 10:00:22 修改 · 2.1k 阅读 · 22 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #tomcat #spring boot

于 2023-12-21 17:05:29 首次发布

0. 生成证书文件格式说明

在生成证书的具体步骤之前,我们需要知道几个与证书相关的文件格式,所有这些格式都属于PKCS(The Public-Key Cryptography Standards)标准:

.key文件:私钥文件,通常使用rsa算法,私钥需要自己保存,无需提交给CA机构
.csr文件:证书签名请求(证书请求文件),含有公钥信息,certificate signing request的缩写。生成该文件时需要用到自己的私钥。
.crt文件:CA认证后的证书文件,certificate的缩写。
.crl文件:证书吊销列表,Certificate Revocation List的缩写
.pem文件:用于导出,导入证书时候的证书的格式。该文件实际上是.crt文件和.key文件的合体,与windows下使用.pfx类似,不同的是.pem使用base64字符存储,而.pfx使用二进制存储。

1.配置自生成证书(方式一,OpenSSL软件生成证书、无需密码)

1.1.生成证书

1.下载 nginx windows 版本并解压,这里不过多描述

2.下载 OpenSSL windows 版本并安装,用于生成证书

3.添加 C:\OpenSSL-Win64,C:\nginx-1.16.1 到环境变量 PATH 路径;

4.在C:\nginx-1.16.1目录下创建ssl目录,以后自签名证书存到这个目录

5.开始创建证书,启动cmd命令行程序,切到C:\nginx-1.16.1\ssl 目录。

基本思路:先创建服务器私钥,再创建CSR文件,最后用私钥签发CSR文件得到服务器公钥证书。

  1. 创建服务器私钥
    C:\nginx-1.16.1\ssl>openssl genrsa -des3 -out server.key 2048

Enter pass phrase for server.key:123456
Verifying - Enter pass phrase for server.key:123456

  1. 创建CSR证书请求文件
C:\nginx-1.16.1\ssl>openssl req -new -key server.key -out server.csr

Country Name (2 letter code) [AU]:cn
State or Province Name (full name) [Some-State]:sd
Locality Name (eg, city) []:jn
Organization Name (eg, company) [Internet Widgits Pty Ltd]:sdcd
Organizational Unit Name (eg, section) []:sdcd
Common Name (e.g. server FQDN or YOUR name) []:localhost
A challenge password []:sdcd2023
An optional company name []:sdcd
  1. 备份有秘密的私钥文件
C:\nginx-1.16.1\ssl>copy server.key server.key.orig
  1. 去掉私钥文件的密码
C:\nginx-1.16.1\ssl>openssl rsa -in server.key -out server.key
Enter pass phrase for server.key:
  1. 使用服务器私钥签署服务器公钥证书
C:\nginx-1.16.1\ssl>openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt

1.2.部署自签证书到nginx服务器

  1. 用记事本编辑 C:\nginx-1.16.1\conf\nginx.conf文件,向文件末尾追加 https 服务器配置:
    # 二级路由跳转、接口代理、https信任自签证书
    server {
        server_name  192.168.43.20;

        listen 443 ssl;        # 监听443端口,也可用其他端口, 开启ssl(必须)

        # 引用ssl证书(必须,如果放在nginx/conf/ssl下可以用相对路径,其他位置必须用绝对路径)
        ssl_certificate   ../ssl/server.crt;
        ssl_certificate_key ../ssl/server.key;

        # 协议优化(可选,优化https协议,增强安全性)
        ssl_protocols    TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
        ssl_prefer_server_ciphers on;
        ssl_session_cache  shared:SSL:10m;
        ssl_session_timeout 10m;

        # 二级路由跳转
        location /ayyingyong20221119 {
            try_files $uri $uri/ /ayyingyong20221119/index.html;
            index index.html;
        }

        # 当遇到/api (也就是我们的接口)对其进行反向代理
        location /ayyingyong20221119/api {
            proxy_pass https://localhost:9090/ayyingyong20221119/api;
        }
    }
  1. 重启 nginx
nginx -s reload
  1. 登录浏览器访问测试
    https://ip:端口/***;使用443不需要端口,其他需要端口

1.3.部署自签证书到tomcat服务器

1.找到server.xml文件,修改Connector 为下面

<Connector port="8080" protocol="HTTP/1.1" scheme="https" secure="true" clientAuth="false" 				sslProtocol="TLS"
				SSLEnabled="true" 
				SSLCertificateFile="C:\apache-tomcat-7.0.68-ui\conf\server.crt"
				SSLCertificateKeyFile="C:\apache-tomcat-7.0.68-ui\conf\server.key"
               connectionTimeout="20000" 
URIEncoding="UTF-8"/>

2.配置自生成证书(方式二,JDK自带工具生成证书、需要密码)

2.1.生成证书

keytool -genkeypair -alias 'tomcat' -keyalg 'RSA' -keystore 'D:/tomcat/conf/tomcat.keystore'

2.2.部署到Tomcat

  1. 修改tomcat主配置文件server.xml
去掉注释,并将keystoreFile和keystorePass处替换成自己的证书路径和生成证书时的口令即可.
<Connector port="8443" protocol="HTTP/1.1" 
              maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
              clientAuth="false" sslProtocol="TLS" keystoreFile="本机的keystore路径" keystorePass="生成证书时的口令"  />
  1. 注释掉server.xml中这段代码,不存在这段代码则不用管
<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />

用这种方法,不注释上面这行代码启动tomcat会报错

严重: Failed to initialize end point associated with ProtocolHandler ["http-apr-
8888"]
java.lang.Exception: Connector attribute SSLCertificateFile must be defined when
 using SSL with APR
        at org.apache.tomcat.util.net.AprEndpoint.bind(AprEndpoint.java:507)
        at org.apache.tomcat.util.net.AbstractEndpoint.init(AbstractEndpoint.jav
a:650)
        at org.apache.coyote.AbstractProtocol.init(AbstractProtocol.java:434)
        at org.apache.catalina.connector.Connector.initInternal(Connector.java:9
78)
        at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102)
        at org.apache.catalina.core.StandardService.initInternal(StandardService
.java:560)
        at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102)
        at org.apache.catalina.core.StandardServer.initInternal(StandardServer.j
ava:820)
        at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102)
        at org.apache.catalina.startup.Catalina.load(Catalina.java:642)
        at org.apache.catalina.startup.Catalina.load(Catalina.java:667)
        at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
        at sun.reflect.NativeMethodAccessorImpl.invoke(Unknown Source)
        at sun.reflect.DelegatingMethodAccessorImpl.invoke(Unknown Source)
        at java.lang.reflect.Method.invoke(Unknown Source)
        at org.apache.catalina.startup.Bootstrap.load(Bootstrap.java:253)
        at org.apache.catalina.startup.Bootstrap.main(Bootstrap.java:427)

2.3. 部署SpringBoot项目

server:
  port: 8008
  ssl:
    enabled: true
    key-store-type: JKS
    key-store: classpath:server.keystore
    key-store-password: 123456
    key-alias: server

参考文档

springboot+vue+nginx 配置Https访问——自签名证书验证 - 尹镇镇 - 博客园 (cnblogs.com)

springboot+vue+nginx 配置Https访问——自签名证书验证 | 航行学园 (voycn.com)

SpringBoot+Vue2前后端项目配置ssl证书_springboot配置ssl证书-优快云博客

Web服务器群集:Tomcat配置https证书-优快云博客

完美配置Tomcat的HTTPS-优快云博客

SpringBoot开发——整合SSL证书启用HTTPS协议
bjzhang75的博客
09-13 1560
SpringBoot整合SSL证书启用HTTPS
SringBoot 如何使用HTTPS请求及Nginx配置Https
傲视苍穹
06-14 1513
但需要注意,通过此命令如果找到的是安装后的命令则无效,仍不好使,需要找到安装源路径,如无法找到,可以通过https://www.openssl.org/source/ 下载进行安装。为什么转呢,因为Nginx配置中是要求一个.key和.pem格式的,其他可否,我没有验证。解决这个问题,首先需要检查是否安装了OpenSSL,通过openssl version查看,未安装可以参考以下命令进行安装。证书生成完成后,可以导入到到项目中,将其复制到Springboot项目的resources目录下。
SpringBoot添加SSL证书,开启HTTPS(单向认证服务端)
热门推荐
生命的意义在于创造和毁灭
08-24 1万+
SpringBoot项目配置SSL证书,同时开启Http和Https协议,服务器单向认证
Windows或Nginx上安装/更新SSL证书,步骤详解
Zh.快乐的程序猿的博客
06-18 3979
Windows或Nginx上安装/更新SSL证书,步骤详解
Nginx 生成配置SSL证书&让浏览器信任证书
最新发布
2509_93882154的博客
10-31 454
注:-extfile private.ext -extensions SAN 是指告诉OpenSSL从private.ext文件中读取[SAN]下扩展的定义,并将其应用到正在生成证书中。下面 以上文 “模拟CA机构方式生成证书(生成证书方式二,推荐)” 方式安装CA证书到本地,让浏览器信任证书。注:在访问网站使用的IP或者域名,必须是 subjectAltName 下指定的域名或者IP。正常情况下,用浏览器访问自签名的证书网站,那么浏览器会提示当前网站不安全,证书不受信任。安装证书,让浏览器信任证书
生成自签ssl证书
kali_yao的博客
10-18 1万+
一.手动生成单个ssl证书 1.创建CA和申请证书 使用openssl工具创建CA证书和申请证书时,需要先查看配置文件,因为配置文件中对证书的名称和存放位置等相关信息都做了定义,具体可参考/etc/pki/tls/openssl.cnf文件。 [root@VM-0-114-centos ~]# vim /etc/pki/tls/openssl.cnf #################################################################### [ ..
springboot本地生成ssl证书使用https访问(亲测可用)
weixin_43401380的博客
12-05 4764
1.本地使用jdk生成ssl证书:       jdk安装目录bin下面执行:keytool -genkey -alias tomcat -keyalg RSA -keystore testserver.keystore testserver.keystore为自定义生成ssl证书. 证书生成中需要填写的校验: 将生成证书放到springboot根目录. 2.springboot项目中配置: # ssl证书设置 server: ssl:
SpringBoot 配置SSL证书,同时支持 http 与 https
路的尽头在哪
07-27 726
前言 废话就不多讲了,直接开始。 我用的是阿里云免费版 DV SSL 证书,流程中需要做域名验证,最后下载证书。 阿里云,云盾免费证书申请,验证,下载证书Tomcat)。 配置文件支持 HTTPS 配置类支持 HTTP 证书获取 阿里云证书申网上多的是,而且貌似也没有啥困难。 申请成功后下载证书SpringBoot 使用的是内置 Tomcat , 所以证书类型需要选择 Tomcat 。 下载后会有一个 pfx 文件 和一个密钥文件。 如果前置了 Nginx ,也需要下载 Nginx 证书且自
SpringBoot配置SLL,使用HTTPS访问
化名三爷
02-09 791
SpringBoot使用jar包运行,需要配置SSL,如果使用Nginx等web服务器进行转发,又觉得麻烦,索性直接使用SpringBoot自带的SSL方法,实现HTTPS访问。首先准备P12证书,如果是本地证书生成,可以参考文字末尾本地证书生成方法(常规用于内网部署),如果使用公网,可以在各大平台进行免费申请,这里不再说明。在启动程序中,进行Bean注入,8183为HTTP访问时使用的端口,443位SSL状态下访问端口。本地证书生成方法,使用JAVA的JDK自带生成SSL证书的工具(keytool)
TomcatNginx、StrpingBoot部署SSL证书
qq_28764347的博客
07-30 328
/** * Spring boot配置 */ //1、生成jsk命令 keytool -importkeystore -srckeystore 读取绝对路径.pfx -destkeystore 存放的绝对路径.jks -srcstoretype PKCS12 -deststoretype JKS //2、放到.yml配置文件同级目录下 //3、配置文件修改 server: port...
私有CA搭建并应用于TomcatSpringboot.docx
12-17
在实际环境中,私有CA不仅适用于TomcatSpringboot,还可以应用于其他需要SSL认证的组件,如Zookeeper、Kafka、Nginx等。确保所有服务使用一致的证书和CA,可以统一管理和验证,提高安全性。 总结起来,私有CA的...
免费openssl 生成ssl证书[ssl证书生成]
08-03
NULL 博文链接:https://nassir.iteye.com/blog/1983613
SpringBoot配置SSL证书
等风来的博客
01-19 6156
SpringBoot项目配置SSL证书
tomcat生成ssl证书
denglu2912的博客
02-12 187
转载:http://www.cnblogs.com/sixiweb/p/3339698.html 1.1 生成keystore文件及导出证书 打开控制台: 运行: %JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg RSA 按照要求一步步的输入信息,问你国家/地区代码的时候,输入cn。 输入密码的时候,这里使用:chan...
生成SSL证书
weixin_44783506的博客
02-05 5970
SSL 是一种加密协议,用于在网络通信中提供数据的保密性和完整性。它使用公钥和私钥来建立安全的连接,并对传输的数据进行加密和解密,以防止未经授权的访问和篡改。根据文章操作,生成以下四个文件用于存储与 SSL 相关的密钥、证书和信任的根证书
SpringBoot配置SSL证书,开启HTTPS安全访问!!!
qq_43532069的博客
07-03 5494
ssl证书配置开启https安全访问!
生成SSL证书简易过程
u012533481的博客
01-22 2310
SSL证书签发
生成可信任的SSL证书
雪急飞绪博客
03-19 3273
什么 SSL 证书才是安全的证书?不满足会展示如下提示信息:CA(Certification Authority) 机构签发 SSL 证书SSL 证书根据验证级别分为三种类型DV SSL,域名验证型只验证网站域名所有权的简易型 SSL 证书,此类证书仅能起到网站机密信息加密的作用,无法向用户证明网站的真实身份OV SSL,组织验证型需要验证网站所有单位的真实身份的标准型 SSL 证书,此类证书也就是正常的 SSL 证书,不仅能起到网站机密信息加密的作用,而且能向用户证明网站的真实身份。
自签生成SSL证书IIS和nginx全流程,保姆级教程。
weixin_44858074的博客
04-22 3799
通过以上步骤,你可以为IIS和Nginx生成自签名证书,并进行详细的配置,包括安全性优化、性能提升和监控调试。虽然自签名证书在生产环境中不推荐使用,但在本地开发和测试环境中,这些步骤可以帮助你快速搭建HTTPS服务。如果你需要在生产环境中使用SSL/TLS证书,建议购买由受信任的证书颁发机构(CA)签发的证书,以确保客户端不会收到安全警告。
springboot配置ssl后如何使用域名访问
09-18
<think> 首先,用户查询的是:"Spring Boot配置SSL后使用域名访问的方法"。我需要基于提供的引用和系统指令来回答。 回顾系统指令: - 使用$...$格式表示行内数学表达式(但这里可能不涉及数学)。 - 独立公式用$$...$$(同样,可能不适用)。 - LaTeX语法正确。 - 使用中文回答。 - 生成相关问题。 - 引用的段落末尾添加引用标识。 - 答案结构清晰,帮助用户逐步解决问题。 - 引用来源在末尾添加标识。 提供的引用是关于Spring Boot配置SSL和域名的: - [^1]: 配置nginxSpring Boot联合使用,配置nginx.conf来代理到Spring Boot应用。 - [^2]: Spring Boot支持在application.properties配置HTTPS,但不能同时配置HTTP和HTTPS;建议配置HTTPS。 - [^3]: 部署到Linux服务器,使用SSL证书。 - [^4]: Spring Boot配置SSL,并通过代码启用HTTP重定向到HTTPS。 - [^5]: 配置SSL证书使用.jks文件,并添加代码同时启用HTTP和HTTPS,重定向HTTP到HTTPS。 用户的核心问题是:配置SSL后如何使用域名访问。意思是,配置SSL后,如何通过域名而不是IP地址访问Spring Boot应用。 关键点: - 配置SSL后,Spring Boot应用运行在HTTPS上。 - 使用域名访问需要将域名指向服务器的IP地址。 - 引用中涵盖了使用nginx代理来配置域名,以及直接在Spring Boot中处理重定向。 从引用中提取相关方法: 1. **使用Nginx代理设置域名**:引用[1]描述了配置nginx.conf文件来处理HTTPS,并将请求代理到Spring Boot应用。步骤包括: - 配置nginx监听443端口。 - 指定域名(server_name)。 - 设置SSL证书和密钥。 - 通过proxy_pass将请求转发到Spring Boot应用(如localhost:8080)。 2. **直接在Spring Boot配置重定向**:引用[4]和[5]提到,在Spring Boot应用中添加代码来启用HTTP端口,并重定向到HTTPS端口。例如: - 在application.properties配置SSL。 - 添加一个Connector来监听HTTP端口。 - 设置重定向到HTTPS端口。 3. **域名解析**:用户需要将域名解析到服务器的IP地址。引用[3]提到需要SSL证书和域名备案(如果是国内服务器)。 回答结构: - 结构化清晰,逐步解决问题。 - 使用中文。 - 在引用末尾添加标识,如[^1]。 步骤概要: 1. **配置SSL证书Spring Boot中**: - 在application.properties设置SSL参数(如key-store, password)。 - 示例代码启用HTTP重定向。 2. **设置域名解析**: - 将域名指向服务器IP(通过DNS设置)。 3. **使用Nginx代理(可选但推荐)**: - 配置Nginx处理HTTPS,并代理到Spring Boot应用。 - 这样可以处理静态文件、负载均衡等。 4. **测试访问**: - 通过域名访问HTTPS。 最终生成相关问题。 完整回答: - 介绍方法。 - 详细步骤。 - 添加引用标识。 - 结尾生成相关问题。 相关问题生成: - 基于主题:如如何配置SSL证书?如何设置DNS?Nginx的其他好处? - 参考系统指令的示例。 相关问题想法: 1. 如何获取和配置SSL证书? 2. Spring Boot中如何实现HTTP重定向到HTTPS? 3. 使用Nginx代理的好处是什么? 4. 如何在云服务器上部署Spring Boot项目? 5. 如何处理域名备案? </think> ### Spring Boot配置SSL后使用域名访问的方法 在Spring Boot配置SSL证书后,通过域名访问应用需要结合域名解析和应用配置。核心步骤包括配置Spring Boot的HTTPS、设置域名DNS解析,以及可选地使用Nginx代理处理HTTPS请求。以下是详细步骤,基于提供的引用内容整理而来: #### 步骤1: 在Spring Boot配置SSL证书 首先,确保SSL证书已正确配置Spring Boot应用中。参考引用[^5],推荐使用JKS格式证书: - 在`application.properties`文件中添加以下配置: ```properties server.ssl.key-store=classpath:your-domain.jks # 证书文件放在/resources目录下 server.ssl.key-store-password=your_password # 替换为证书密码 server.ssl.key-store-type=JKS server.port=8443 # HTTPS默认端口 ``` - 为了允许HTTP请求自动重定向到HTTPS,需要在启动类中添加代码。参考引用[^4]和[^5]: ```java @SpringBootApplication public class Application { public static void main(String[] args) { SpringApplication.run(Application.class, args); } @Bean public ServletWebServerFactory servletContainer() { TomcatServletWebServerFactory tomcat = new TomcatServletWebServerFactory(); tomcat.addAdditionalTomcatConnectors(createHTTPConnector()); return tomcat; } private Connector createHTTPConnector() { Connector connector = new Connector("org.apache.coyote.http11.Http11NioProtocol"); connector.setScheme("http"); connector.setSecure(false); connector.setPort(8080); // HTTP端口(如8080) connector.setRedirectPort(8443); // 重定向到HTTPS端口(如8443) return connector; } } ``` 此代码同时启用HTTP和HTTPS端口,并自动将HTTP请求重定向到HTTPS[^4][^5]。 #### 步骤2: 配置域名解析 将您的域名指向服务器IP地址: - 在域名注册商(如阿里云、腾讯云)的控制台设置DNS解析: - 添加A记录:域名 → 服务器公网IP地址。 - 如果使用国内服务器(如阿里云ECS),需先完成域名备案(参考引用[^3])。 - 测试域名解析:使用`ping your-domain.com`验证IP是否正确。 #### 步骤3: 使用Nginx代理(推荐) 单独使用Spring Boot处理HTTPS可能受限(如端口冲突),推荐通过Nginx代理处理HTTPS请求。步骤如下(参考引用[^1]): 1. **配置Nginx**:编辑`nginx.conf`文件: ```nginx server { listen 443 ssl; # 监听HTTPS端口 server_name your-domain.com; # 替换为您的域名 ssl_certificate /path/to/your-cert.crt; # 证书路径 ssl_certificate_key /path/to/your-key.key; # 私钥路径 ssl_session_timeout 5m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384; ssl_prefer_server_ciphers on; location / { proxy_pass http://localhost:8080; # 转发到Spring Boot的HTTP端口(与步骤1一致) proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Host $http_host; proxy_set_header X-NginX-Proxy true; proxy_redirect off; } } ``` 2. **重启Nginx**:运行`sudo nginx -s reload`生效。 #### 步骤4: 测试访问 - 启动Spring Boot应用:`mvn spring-boot:run`或打包部署。 - 访问`https://your-domain.com`,浏览器应显示SSL锁图标和您的应用内容(如引用[^1]中的"hello world"示例)。 - 如果配置了HTTP重定向,访问`http://your-domain.com`会自动跳转到HTTPS[^4]。 #### 常见问题处理 - **证书获取**:可从云服务商(如阿里云)申请免费SSL证书(参考引用[^5])。 - **端口冲突**:确保Spring Boot的HTTP端口(如8080)未被占用;Nginx监听HTTPS端口(443)。 - **安全加固**:在Nginx中启用HSTS等特性以提高安全性(参考引用[^2])。 这种方法结合了Spring Boot的HTTPS配置Nginx的代理能力,适合生产环境[^1][^3][^5]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值