SSL访问+域名

最新推荐文章于 2025-04-11 18:37:27 发布
转载 最新推荐文章于 2025-04-11 18:37:27 发布 · 514 阅读 · 0

服务器端需要设定javax.net.ssl.keyStore/ javax.net.ssl.keyStorePassword两个系统参数

而客户端需要设定javax.net.ssl.trustStore/javax.net.ssl.trustStorePassword两个系统参数


参考:

http://chrui.iteye.com/blog/1018711

http://blog.sina.com.cn/s/blog_634d74310101c7bg.html

http://utensil.github.io/tech/2011/06/11/how-to-play-with-certificates-and-keys.html

http://blog.youkuaiyun.com/guo_rui22/article/details/3947716

http://blog.youkuaiyun.com/tony1130/article/details/5134318

http://hi.baidu.com/simonjiang/item/f93771b6554bf59418469706

http://luckywnj.iteye.com/blog/1707048

http://zhouzhk.iteye.com/blog/135081

http://blog.youkuaiyun.com/baostar/article/details/4480340


证书是用java keytool生成的,如下:


1.生成服务端证书

假定目标机器的域名是“10.10.20.35”。

如果Tomcat所在服务器的域名不是“10.10.20.35”,应改为对应的域名,如“www.sina.com.cn”,否则浏览器会弹出警告窗口,提示用户证书与所在域不匹配。在本地做开发测试时,应填入“localhost”。

keytool -genkey -v -alias server -keyalg RSA -keystore C:/Users/zcy/Desktop/ssl/server.keystore -dname "CN=10.10.20.35,OU=Tongtech,O=Tongtech,L=SiChuan,ST=SiChuan,C=CN" -validity 3650 -storepass 123456 -keypass 123456

2.导出服务端证书
keytool -export -alias server -keystore C:/Users/zcy/Desktop/ssl/server.keystore -storepass 123456 -rfc -file C:/Users/zcy/Desktop/ssl/server.cer

3.生成客户端证书
keytool -genkey -v -alias client -keyalg RSA -keystore C:/Users/zcy/Desktop/ssl/client.keystore -dname "CN=client,OU=Tongtech,O=Tongtech,L=SiChuan,ST=SiChuan,C=CN" -validity 3650 -storepass 123456 -keypass 123456

4.导出客户端证书

由于是双向SSL认证,服务器必须要信任客户端证书,因此,必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入,我们必须先把客户端证书导出为一个单独的CER文件。

其中storepass 为client.keystore 生成过程设置的密码。

keytool -export -alias client -keystore C:/Users/zcy/Desktop/ssl/client.keystore -storepass 123456 -rfc -file C:/Users/zcy/Desktop/ssl/client.cer

5.把客户端证书加入服务端证书信任列表

通过以上命令,客户端证书就被我们导出到client.cer文件了。下一步,是将该文件导入到服务器的证书库,添加为一个信任证书:

keytool -import -file C:/Users/zcy/Desktop/ssl/client.cer -storepass 123456 -keystore C:/Users/zcy/Desktop/ssl/server.truststore -alias client


通过list命令查看服务器的证书库,我们可以看到两个输入,一个是服务器证书,一个是受信任的客户端证书:
keytool -list -keystore server.truststore


6.生成客户端信任列表 (客户端信任的服务端)
keytool -import -file C:/Users/zcy/Desktop/ssl/server.cer -storepass 123456 -keystore C:/Users/zcy/Desktop/ssl/client.truststore -alias server




1.浏览器证书(已可正常访问)

浏览器生成证书,以便让服务器来验证它。为了能将证书顺利导入至IE和Firefox,证书格式应该是PKCS12。

客户端的CN可以是任意值。

keytool -validity 365 -genkeypair -v -alias browser -keyalg RSA -storetype PKCS12 -keystore C:/Users/zcy/Desktop/ssl/browser.p12 -dname "CN=browser,OU=Tongtech,O=Tongtech,L=SiChuan,ST=SiChuan,c=cn" -storepass 123456 -keypass 123456

2、从客户端证书库中导出客户端证书
keytool -export -v -alias browser -keystore C:/Users/zcy/Desktop/ssl/browser.p12 -storetype PKCS12 -storepass 123456 -rfc -file C:/Users/zcy/Desktop/ssl/browser.cer

3、将客户端证书导入到服务器证书库(使得服务器信任客户端证书)
keytool -import -v -alias browser -file C:/Users/zcy/Desktop/ssl/browser.cer -keystore C:/Users/zcy/Desktop/ssl/server.truststore -storepass 123456

keytool -list -keystore C:/Users/zcy/Desktop/ssl/server.truststore -storepass 123456


###################################################################

证书保存在服务器端,用户通过浏览器访问时,需要将证书下载保存到本地,表示信任服务器。同样浏览器中的证书也需要保存到服务器的证书库中,表明当前浏览器的证书是可信的。 
        环境:tomcat-6.0.18、jdk1.6.0_18 
        1. 为服务器生成证书 
        使用keytool为Tomcat生成证书,假定目标机器的域名是"localhost",keystore 文件存放在"e:\keytool\tomcat.keystore",口令为"aaaaaaa",使用如下命令生成: 

Java代码  收藏代码
  1. keytool -genkeypair -v -alias tomcat -keyalg RSA -keystore e:\keytool\tomcat.keystore -dname "CN=localhost,OU=hansky,O=cr,ST=bj,C=zh_cn" -storepass aaaaaaa -keypass aaaaaaa  

生成证书提示代码  收藏代码
  1. 正在为以下对象生成 1,024 位 RSA 密钥对和自签名证书 (SHA1withRSA)(有效期为 90 天):  
  2. CN=localhost, OU=hansky, O=cr, ST=bj, C=zh_cn  
  3. [正在存储 e:\keytool\tomcat.keystore]  

        如果Tomcat所在服务器的域名不是"localhost",应改为对应的域名,如"www.sina.com.cn",否则浏览器会弹出警告窗口,提示用户证书与所在域不匹配。在本地做开发测试时,应填入"localhost"。 
         2. 生成客户端证书  
        为浏览器生成证书,以便让服务器来验证它。为了能将证书顺利导入至IE和Firefox,证书格式应该是PKCS12,因此,使用如下命令生成: 
Java代码  收藏代码
  1. keytool -genkeypair -v -alias lcl -keyalg RSA -storetype PKCS12 -keystore e:\keytool\lcl.p12 -dname "CN=lcl,OU=lc,O=r,L=bj,ST=bj,C=zh_cn" -storepass aaaaaaa -keypass aaaaaaa  

生成证书提示代码  收藏代码
  1. 正在为以下对象生成 1,024 位 RSA 密钥对和自签名证书 (SHA1withRSA)(有效期为 90 天):  
  2.     CN=lcl, OU=lc, O=r, L=bj, ST=bj, C=zh_cn  
  3. [正在存储 e:\keytool\lcl.p12]  

        对应的证书库存放在"e:\keytool\lcl.p12",客户端的CN可以是任意值。稍候,我们将把这个"my.p12"证书库导入到IE和Firefox中。 
         3. 让服务器信任客户端证书  
        由于是双向SSL认证,服务器必须要信任客户端证书,因此,必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入,我们必须先把客户端证书导出为一个单独的CER文件,使用如下命令: 
Java代码  收藏代码
  1. keytool -exportcert -alias lcl -keystore e:\keytool\lcl.p12 -storetype PKCS12 -storepass aaaaaaa -rfc -file e:\keytool\lcr.cer  

导出证书代码  收藏代码
  1. 保存在文件中的认证 <e:\keytool\lcr.cer>  

        通过以上命令,客户端证书就被我们导出到"e:\keytool\lcr.cer"文件了。下一步,是将该文件导入到服务器的证书库,添加为一个信任证书: 
Java代码  收藏代码
  1. keytool -importcert -v -file e:\keytool\lcr.cer -keystore e:\keytool\tomcat.keystore -storepass aaaaaaa  

导入证书的提示代码  收藏代码
  1. 所有者:CN=lcl, OU=lc, O=r, L=bj, ST=bj, C=zh_cn  
  2. 签发人:CN=lcl, OU=lc, O=r, L=bj, ST=bj, C=zh_cn  
  3. 序列号:4cd90399  
  4. 有效期: Tue Nov 09 16:17:29 CST 2010 至Mon Feb 07 16:17:29 CST 2011  
  5. 证书指纹:  
  6.          MD5:A4:BB:D1:E6:35:60:22:CC:DC:EF:6E:D9:B0:5C:2C:C7  
  7.          SHA1:12:90:4B:7A:C0:D8:EB:CC:7B:A7:15:8A:05:46:AC:F7:AE:BF:0E:62  
  8.          签名算法名称:SHA1withRSA  
  9.          版本: 3  
  10. 信任这个认证? [否]:  y  
  11. 认证已添加至keystore中  
  12. [正在存储 e:\keytool\tomcat.keystore]  

        通过list 命令查看服务器的证书库,我们可以看到两个输入,一个是服务器证书,一个是受信任的客户端证书: 
Java代码  收藏代码
  1. keytool -list -v -keystore e:\keytool\tomcat.keystore -storepass aaaaaaa  

         4. 将e:\keytool\tomcat.keystore拷贝到tomcat的根目录下,我拷贝到c:\tomcat(这是我的tomcat安装目录)下  
        5. 配置tomcat 
        打开Tomcat根目录下的/conf/server.xml,找到如下配置段,修改如下: 
Server.xml代码  收藏代码
  1. <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"  
  2.            maxThreads="150" scheme="https" secure="true"                
  3.            clientAuth="true" sslProtocol="TLS"  
  4.            keystoreFile="tomcat.keystore" keystorePass="aaaaaaa"  
  5.            truststoreFile="tomcat.keystore" truststorePass="aaaaaaa"/>  

        其中,clientAuth 指定是否需要验证客户端证书,如果该设置为"false",则为单向SSL验证,SSL 配置可到此结束。如果clientAuth设置为"true",表示强制双向SSL验证,必须验证客户端证书。如果clientAuth设置为"want",则表示可以验证客户端证书,但如果客户端没有有效证书,也不强制验证。 
         6. 导入客户端证书  
        如果设置了clientAuth="true",则需要强制验证客户端证书。双击"e:\keytool\lcl.p12"即可将证书导入至IE,导入证书后,即可启动Tomcat,用IE 进行访问。如果需要用FireFox 访问,则需将证书导入至FireFox。 
          7. 测试  
测试代码  收藏代码
  1. https://localhost:8443/  
用Keytool和OpenSSL生成和签发数字证书
欢迎朋友,我是一名十多年开发经验的新手,希望多多指教。
12-11 1152
keystore的作用类似于windows存放证书的方式,不过跨平台了,^_^下面用Keytool生成CSR(Certificate Signing Request),并用OpenSSL生成CA签名的证书。按照命令的提示,回答一系列问题,就生成了数字证书。运行时会提示输入密码,此密码用于加密key文件(参数des3便是指加密算法,当然也可以选用其他你认为安全的算法.),以后每当需读取此文件(通过openssl提供的命令或API)都需输入口令.如果觉得不方便,也可以去除这个口令,但一定要采取其他的保护措施!
使用宝塔部署war包+SSL证书+域名访问
天依殿下的九公子
10-19 1562
前言 初学者部署web项目常常好奇的将自己写的web项目部署到云服务器中,常用的方式有使用Jenkins持续交付或者使用docker容器的方式,但是这两种都是比较麻烦的,尤其是初学者在众多步骤中容易迷失自我,今天介绍另一个简单的方式:利用宝塔控制面板将web项目部署到服务器中并且可以用域名访问 前提 注意以下几个点: 1、云服务器:可以在阿里云买一个最便宜的云服务器ECS就行(初学者要求不高的),记得设置安全组,自行百度或者看阿里云文档 2、SSL证书:这个可以在阿里云中申请免费的使用,至于怎么申请就自己到
SSL:用Keytool生成和签发数字证书
zzhongcy的专栏
03-26 6534
参考: http://chrui.iteye.com/blog/1018711 http://blog.sina.com.cn/s/blog_634d74310101c7bg.html http://utensil.github.io/tech/2011/06/11/how-to-play-with-certificates-and-keys.html http://blog.csdn
KeyTool制作证书
04-03
KeyTool制作证书
编写程序强制用户通过SSL访问网站
weixin_34384557的博客
05-12 121
有时候,为了网站数据传输的安全,我们希望用户访问网站某些页面或者整个网站的时候,必须通过HTTPS的方式访问,而不允许HTTP明文方式访问,如何正确的配置网站和编写程序以达到一个理想的效果呢? 有些网站开发人员,采用了只开放了HTTPS-443端口,而关闭HTTP-80端口的方式,这样的话,虽然可以造成用户的确无法用HTTP访问网站了,但如果用户通过HTTP访问网站,譬如直接在地址栏输入网址ww...
linux+域名+ssl+nginx+https+tomcat来实现域名的https形式访问
royal1235的博客
08-25 672
1.linux:这个大家自行选择,可以选择阿里云、腾讯云、华为云等等,我用的阿里云,十块钱一个月很便宜。 2.域名:进行域名购买、域名备案、域名解析 域名便宜的一年十几块钱,所以买一个玩玩还是可以的,我的名字叫安生,所以我买的域名是ansheng.online, 购买步骤(阿里云为例子): 进入阿里云官网: 然后根据不同的条件进行筛选自己喜欢的便宜的域名玩玩: 购买过之后就是...
java web应用部署+配置域名解析访问+ssl证书配置
qq_41297837的博客
03-14 1081
一、需求说明 本人日常开发java web应用,采用jfinal框架,undertow进行部署 二、用到的工具 1.阿里云轻量应用服务器 2.阿里云申请的域名,需要备案,本人申请的ucool.tech域名已备案 3.阿里云上购买的免费ssl证书 4.服务器上安装好nginx 三、部署流程 1.jfinal+undertow打zip包上传到服务器,然后启动,此时可以通过ip:port访问到部署的应...
2024年申请ssl证书并绑定指定域名实现全站https访问_ssl证书绑定域名,2024年最新这些新技术你们都知道吗
2401_84563220的博客
05-06 750
18 进入/usr/local/apache/conf/extra目录,编辑httpd-ssl.conf,该文件中不能有#,用之前需要删除下面的注释。21 编辑wordpress的wp-config.php文件,加上登录和后台强制使用https的设置。17 进入apache的conf目录,编辑httpd.conf,解开下面三个代码的注释。20 在浏览器验证绑定的域名是否可以进行https的访问,可以看到已经可以正常访问了。14 选择相应服务的证书,这里选择下载apache的证书。12 点击验证并提交审核。
minio改成https+域名访问
weixin_54514751的博客
04-11 2445
当项目从HTTP升级到HTTPS时,原有的HTTP格式图片无法在HTTPS页面显示。minio将http改为https方式访问.
命令行keytool使用 证书DN生成数字证书容器 空格
05-01
NULL 博文链接:https://javawxl.iteye.com/blog/2401096
SSL 设置域名访问
weixin_33757911的博客
12-18 312
域名https.ssl.com设置https加密访问过程: 命令如下: #opensslgenrsa-des3-outhttps.ssl.com.key1024 #opensslreq-new-keyhttps.ssl.com.key-outhttps.ssl.com.csr #opensslrsa-inhttps.ssl.com.key...
Keytools生成证书(自签)
bafcj的博客
01-09 8709
使用keytool自签证书
keytool命令制作CA根证书,签发二级证书
lucky_love816的博客
01-05 2425
关于TLS的一些基本信息我这里就不多说了,网上一搜一大堆。这里主要说一下,在tls单向认证里,怎么用keytool命令去制作CA证书,签发二级证书。双向认证也就是照着反方向做一遍就好了。 先附一张简单的步骤图,及每一步的命令 keytool -certreq -alias server -keystore d:\server.keystore -storepass 123456 -file d:\server.csr keytool -gencert -alias ca -keystore d:\ca
nginx https配置ssl证书实现访问https服务
GoppViper的博客
02-02 357
提交申请后,在“证书资源包”–>“证书管理” 标签下,会生成一个状态是“已签发”的”DigiCert免费版SSL“证书,点击“下载”登录“阿里云控制台”,输入关键词寻找:SSL证书,找到“安全(云盾)”下的 SSL证书(应用安全)标签,点击进去。在弹出的右侧边框中,根据自己实际的web服务器,选择对应的下载(这里我选择的是Nginx)打开证书申请页面,填写申请内容,包括:域名、姓名、邮箱和手机号。最左侧点击“证书资源包”,来获取免费的SSL证书。
自制的SSL证书能应用于正式网站用域名访问吗?
SSL加密技术
07-15 761
什么是自签名的SSL证书?自签名的SSL证书,顾名思义就是不是受到受信任的机构颁发的SSL证书,自己签发的证书。这种证书随意签发,不受监督也不会受任何浏览器以及操作系统信任。那么,自签名的SSL证书怎么样?安全吗?会有什么风险? 自签名的证书容易被黑客伪造用来攻击或者劫持站点流量,如果使用自签名的SSL证书,就容易被钓鱼网站利用,这是其一。一旦你使用这种随意签发的,不受监督、信任的证书,黑客同样也会进行伪造,用在钓鱼网站从而对所有信任你网站的人造成损失。 为什么自签名的SSL证书会有风险? 因为国内外
用Jdk自带工具keytool生成受信任的证书
热门推荐
Tibib的专栏
09-21 1万+
一、创建证书keystore 创建证书keystore的过程。 操作步骤 使用JDK自带的命令keytool创建“keystore”文件,其中包含了密钥。在命令行窗口中输入以下命令: keytool -genkey -alias tbb -keyalg RSA -keystore d:\tbb.keystore 根据系统提示输入“keystore”的密码,例如:“password”。
配置https域名访问搭建
我许我向您看齐
11-11 1万+
当我我研究微信小程序的时候,发现访问地址一定要https,然后自行去研究了一下这方面的技术 这里使用的是免费的https 搭建测试 HTTPS是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。 其实配置https最后拿到的就是.pem和.key两个文件,然后到nginx里面新添加一个域名解析,解析到443端口,重启nginx,然后访问即可 首先去这
SSL证书签发后能中途更改域名吗?
SSL加密技术
12-01 1064
有的网站在申请SSL证书后不久,又想给网站更改域名了,那之前的SSL证书还可以再用吗?如果不能用,买的SSL证书能够中途更换域名吗?下面将帮您解答这两个方面的疑惑。 网站更改域名后,之前的SSL证书不能再用了。 如果之前您的网站只有一个域名,而您申请的SSL证书一般都只是保护您之前的域名的,域名更改后,之前的SSL证书将不再保护您新的域名了。当然,如果您网站本身不止一个域名而申请的是多域名证书,您可以将更改后的域名加进去,那么之前的SSL证书还是可以再用的。 如果您之前申请的是单域名SSL证书,域名
springboot配置ssl后如何使用域名访问
最新发布
09-18
<think> 首先,用户查询的是:"Spring Boot配置SSL后使用域名访问的方法"。我需要基于提供的引用和系统指令来回答。 回顾系统指令: - 使用$...$格式表示行内数学表达式(但这里可能不涉及数学)。 - 独立公式用$$...$$(同样,可能不适用)。 - LaTeX语法正确。 - 使用中文回答。 - 生成相关问题。 - 引用的段落末尾添加引用标识。 - 答案结构清晰,帮助用户逐步解决问题。 - 引用来源在末尾添加标识。 提供的引用是关于Spring Boot配置SSL域名的: - [^1]: 配置nginx与Spring Boot联合使用,配置nginx.conf来代理到Spring Boot应用。 - [^2]: Spring Boot支持在application.properties配置HTTPS,但不能同时配置HTTP和HTTPS;建议配置HTTPS。 - [^3]: 部署到Linux服务器,使用SSL证书。 - [^4]: Spring Boot配置SSL,并通过代码启用HTTP重定向到HTTPS。 - [^5]: 配置SSL证书使用.jks文件,并添加代码同时启用HTTP和HTTPS,重定向HTTP到HTTPS。 用户的核心问题是:配置SSL后如何使用域名访问。意思是,配置了SSL后,如何通过域名而不是IP地址访问Spring Boot应用。 关键点: - 配置SSL后,Spring Boot应用运行在HTTPS上。 - 使用域名访问需要将域名指向服务器的IP地址。 - 引用中涵盖了使用nginx代理来配置域名,以及直接在Spring Boot中处理重定向。 从引用中提取相关方法: 1. **使用Nginx代理设置域名**:引用[1]描述了配置nginx.conf文件来处理HTTPS,并将请求代理到Spring Boot应用。步骤包括: - 配置nginx监听443端口。 - 指定域名(server_name)。 - 设置SSL证书和密钥。 - 通过proxy_pass将请求转发到Spring Boot应用(如localhost:8080)。 2. **直接在Spring Boot中配置重定向**:引用[4]和[5]提到,在Spring Boot应用中添加代码来启用HTTP端口,并重定向到HTTPS端口。例如: - 在application.properties配置SSL。 - 添加一个Connector来监听HTTP端口。 - 设置重定向到HTTPS端口。 3. **域名解析**:用户需要将域名解析到服务器的IP地址。引用[3]提到需要SSL证书和域名备案(如果是国内服务器)。 回答结构: - 结构化清晰,逐步解决问题。 - 使用中文。 - 在引用末尾添加标识,如[^1]。 步骤概要: 1. **配置SSL证书在Spring Boot中**: - 在application.properties设置SSL参数(如key-store, password)。 - 示例代码启用HTTP重定向。 2. **设置域名解析**: - 将域名指向服务器IP(通过DNS设置)。 3. **使用Nginx代理(可选但推荐)**: - 配置Nginx处理HTTPS,并代理到Spring Boot应用。 - 这样可以处理静态文件、负载均衡等。 4. **测试访问**: - 通过域名访问HTTPS。 最终生成相关问题。 完整回答: - 介绍方法。 - 详细步骤。 - 添加引用标识。 - 结尾生成相关问题。 相关问题生成: - 基于主题:如如何配置SSL证书?如何设置DNS?Nginx的其他好处? - 参考系统指令的示例。 相关问题想法: 1. 如何获取和配置SSL证书? 2. Spring Boot中如何实现HTTP重定向到HTTPS? 3. 使用Nginx代理的好处是什么? 4. 如何在云服务器上部署Spring Boot项目? 5. 如何处理域名备案? </think> ### Spring Boot配置SSL后使用域名访问的方法 在Spring Boot中配置SSL证书后,通过域名访问应用需要结合域名解析和应用配置。核心步骤包括配置Spring Boot的HTTPS、设置域名DNS解析,以及可选地使用Nginx代理处理HTTPS请求。以下是详细步骤,基于提供的引用内容整理而来: #### 步骤1: 在Spring Boot中配置SSL证书 首先,确保SSL证书已正确配置在Spring Boot应用中。参考引用[^5],推荐使用JKS格式证书: - 在`application.properties`文件中添加以下配置: ```properties server.ssl.key-store=classpath:your-domain.jks # 证书文件放在/resources目录下 server.ssl.key-store-password=your_password # 替换为证书密码 server.ssl.key-store-type=JKS server.port=8443 # HTTPS默认端口 ``` - 为了允许HTTP请求自动重定向到HTTPS,需要在启动类中添加代码。参考引用[^4]和[^5]: ```java @SpringBootApplication public class Application { public static void main(String[] args) { SpringApplication.run(Application.class, args); } @Bean public ServletWebServerFactory servletContainer() { TomcatServletWebServerFactory tomcat = new TomcatServletWebServerFactory(); tomcat.addAdditionalTomcatConnectors(createHTTPConnector()); return tomcat; } private Connector createHTTPConnector() { Connector connector = new Connector("org.apache.coyote.http11.Http11NioProtocol"); connector.setScheme("http"); connector.setSecure(false); connector.setPort(8080); // HTTP端口(如8080) connector.setRedirectPort(8443); // 重定向到HTTPS端口(如8443) return connector; } } ``` 此代码同时启用HTTP和HTTPS端口,并自动将HTTP请求重定向到HTTPS[^4][^5]。 #### 步骤2: 配置域名解析 将您的域名指向服务器IP地址: - 在域名注册商(如阿里云、腾讯云)的控制台设置DNS解析: - 添加A记录:域名 → 服务器公网IP地址。 - 如果使用国内服务器(如阿里云ECS),需先完成域名备案(参考引用[^3])。 - 测试域名解析:使用`ping your-domain.com`验证IP是否正确。 #### 步骤3: 使用Nginx代理(推荐) 单独使用Spring Boot处理HTTPS可能受限(如端口冲突),推荐通过Nginx代理处理HTTPS请求。步骤如下(参考引用[^1]): 1. **配置Nginx**:编辑`nginx.conf`文件: ```nginx server { listen 443 ssl; # 监听HTTPS端口 server_name your-domain.com; # 替换为您的域名 ssl_certificate /path/to/your-cert.crt; # 证书路径 ssl_certificate_key /path/to/your-key.key; # 私钥路径 ssl_session_timeout 5m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384; ssl_prefer_server_ciphers on; location / { proxy_pass http://localhost:8080; # 转发到Spring Boot的HTTP端口(与步骤1一致) proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Host $http_host; proxy_set_header X-NginX-Proxy true; proxy_redirect off; } } ``` 2. **重启Nginx**:运行`sudo nginx -s reload`生效。 #### 步骤4: 测试访问 - 启动Spring Boot应用:`mvn spring-boot:run`或打包部署。 - 访问`https://your-domain.com`,浏览器应显示SSL锁图标和您的应用内容(如引用[^1]中的"hello world"示例)。 - 如果配置了HTTP重定向,访问`http://your-domain.com`会自动跳转到HTTPS[^4]。 #### 常见问题处理 - **证书获取**:可从云服务商(如阿里云)申请免费SSL证书(参考引用[^5])。 - **端口冲突**:确保Spring Boot的HTTP端口(如8080)未被占用;Nginx监听HTTPS端口(443)。 - **安全加固**:在Nginx中启用HSTS等特性以提高安全性(参考引用[^2])。 这种方法结合了Spring Boot的HTTPS配置和Nginx的代理能力,适合生产环境[^1][^3][^5]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值