spring-boot https证书双向认证配置的实现

 更新时间:2025年08月22日 10:17:53   作者:杨小熊的笔记  
本文详细介绍SpringBoot项目中配置自签名CA证书、签发服务端和客户端证书,生成PKCS12格式的证书,及设置SSL/TLS配置,实现双向认证,具有一定的参考价值,感兴趣的可以了解一下

本文主要介绍在spring-boot工程中配置https证书双向认证。包含生成自签名证书命令,配置yml等。

注意:

  • 该文章使用自签名证书,仅作为开发验证使用,实际现网场景请从CA机构申请证书。
  • 文章中的命令均在linux环境下执行。
  • openssl版本为 OpenSSL 1.1.1k FIPS 25 Mar 2021。
  • keytool对应jre版本为 1.8.0_401。

1. 创建CA证书

创建CA证书。相关文件:

  • rootca.key CA证书私钥。
  • rootca.crt CA证书。
  • rootca.p12 PKCS12格式的信任证书库。
  • truststore.jks JKS格式的信任证书库。
# 1. 创建CA私钥 RootCaKey@2024 生成 rootca.key
openssl genpkey -aes256 -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out rootca.key -pass pass:'RootCaKey@2024'
# 2. 创建CA证书请求 生成 rootca.crt
openssl req -x509 -days 3650 -sha256 -key rootca.key -passin pass:'RootCaKey@2024' -out rootca.crt -subj "/C=CN/CN=demorootca.demo.com"
## 生成并导入信任证书库 PKCS12 生成 rootca.p12 TrustStore@2024
keytool -import -noprompt -trustcacerts -alias rootca -file rootca.crt -keystore rootca.p12 -storetype PKCS12 -storepass 'TrustStore@2024'
### 查看
keytool -list -v -keystore rootca.p12 -storetype PKCS12 -storepass 'TrustStore@2024'
## 生成并导入信任证书库 JKS 生成 truststore.jks
keytool -import -noprompt -trustcacerts -alias rootca -file rootca.crt -keystore truststore.jks -storetype JKS -storepass 'TrustStore@2024'
### 查看
keytool -list -v -keystore truststore.jks -storetype JKS -storepass 'TrustStore@2024'

2. 签发服务端证书

生成服务端证书 server.crt 并且使用ca证书签发。可以使用命令验证。

openssl genpkey -aes256 -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out server.key -pass pass:'ServerKey@2024'
openssl req -new -key server.key -passin pass:'ServerKey@2024' -out server.csr -subj "/C=CN/CN=server.demo.com"
openssl x509 -req -in server.csr -CA rootca.crt -CAkey rootca.key -passin pass:'RootCaKey@2024' -CAcreateserial -out server.crt -days 3650 -sha256
## 使用CA证书验证服务端证书
openssl verify -verbose -CAfile rootca.crt server.crt

3. 签发客户端证书

生成客户端证书 client.crt 并且使用ca证书签发。可以使用命令验证。

openssl genpkey -aes256 -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out client.key -pass pass:'ClientKey@2024'
openssl req -new -key client.key -passin pass:'ClientKey@2024' -out client.csr -subj "/C=CN/CN=client.demo.com"
openssl x509 -req -in client.csr -CA rootca.crt -CAkey rootca.key -passin pass:'RootCaKey@2024' -CAcreateserial -out client.crt -days 3650 -sha256
## 使用CA证书验证客户端证书
openssl verify -verbose -CAfile rootca.crt client.crt

4. 生成PKCS12服务端证书

通过 openssl 命令生成服务端用的证书 server.p12 和客户端用到的证书 client.p12。可以使用 keytool 命令查看。

  • server.key+server.crt+rootca.crt -> server.p12
  • client.key+client.crt+rootca.crt -> client.p12
openssl pkcs12 -export -inkey server.key -passin pass:'ServerKey@2024' -in server.crt -chain -CAfile rootca.crt -out server.p12 -password pass:'ServerKeyStore@2024'
## 查看 server.p12证书
keytool -list -v -keystore server.p12 -storepass 'ServerKeyStore@2024'
# 生成PKCS12客户端证书
openssl pkcs12 -export -inkey client.key -passin pass:'ClientKey@2024' -in client.crt -chain -CAfile rootca.crt -out client.p12 -password pass:'ClientKeyStore@2024'
## 查看 client.p12 证书
keytool -list -v -keystore client.p12 -storepass 'ClientKeyStore@2024'

5. 配置spring-boot工程

将前边生成的证书 server.p12,truststore.jks,rootca.p12文件,拷贝到 src/main/resources/cert/ 目录下。并修改 application.yml,内容如下:

使用rootca.p12

server:
  ssl:
    enabled: true
    key-store: classpath:cert/server.p12
    key-store-password: 'ServerKeyStore@2024'
    key-store-type: PKCS12
    key-store-provider: BC
    enabled-protocols: TLSv1.2,TLSv1.3
    trust-store: classpath:cert/rootca.p12
    trust-store-password: 'TrustStore@2024'
    trust-store-type: PKCS12
    trust-store-provider: BC
    client-auth: need
  servlet:
    context-path: /SpringBoot2Demo
  port: 8888

logging:
  level:
    root: info

使用 truststore.jks

server:
  ssl:
    enabled: true
    key-store: classpath:cert/server.p12
    key-store-password: 'ServerKeyStore@2024'
    key-store-type: PKCS12
    key-store-provider: BC
    enabled-protocols: TLSv1.2,TLSv1.3
    trust-store: classpath:cert/truststore.jks
    trust-store-password: 'TrustStore@2024'
    trust-store-type: JKS
    trust-store-provider: SUN
    client-auth: need
  servlet:
    context-path: /SpringBoot2Demo
  port: 8888

logging:
  level:
    root: info

由于要使用到 BouncyCastleProvider,需要添加相关依赖和配置:

pom.xml

        <dependency>
            <groupId>org.bouncycastle</groupId>
            <artifactId>bcprov-jdk18on</artifactId>
            <version>1.78.1</version>
        </dependency>

启动类:

    static {
        Security.addProvider(new BouncyCastleProvider());
    }

6. 验证请求

使用curl命令和使用postman均可以验证,需要配置客户端证书。

# 使用命令验证
curl -k --cert-type P12 --cert ./client.p12:'ClientKeyStore@2024' --location --request GET 'https://localhost:8888/SpringBoot2Demo/demo/current'

使用postman的时候,需要将 Settings->General->REQUEST->SSL certificate verification 开关关掉,即不校验SSL服务端证书。

源代码地址github

源代码地址gitee

到此这篇关于spring-boot https证书双向认证配置的实现的文章就介绍到这了,更多相关spring-boot https双向认证内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

相关文章

  • Java中wait()和notify()的正确使用方式

    Java中wait()和notify()的正确使用方式

    本文详细介绍了Java中wait()和notify()方法的作用,包括让线程阻塞并释放锁、唤醒等待线程等,通过实例演示了它们在多线程同步中的应用,,需要的朋友可以参考下
    2026-03-03
  • SpringBoot实现过滤器拦截器的耗时对比

    SpringBoot实现过滤器拦截器的耗时对比

    这篇文章主要为大家详细介绍了SpringBoot实现过滤器拦截器的输出接口耗时对比,文中的示例代码讲解详细,感兴趣的小伙伴可以了解一下
    2022-06-06
  • Spring多数据源导致配置失效的解决

    Spring多数据源导致配置失效的解决

    这篇文章主要介绍了Spring多数据源导致配置失效的解决方案,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
    2024-01-01
  • SpringCloud Nacos作为配置中心超详细讲解

    SpringCloud Nacos作为配置中心超详细讲解

    这篇文章主要介绍了Springcloud中的Nacos作为配置中心,本文以用户微服务为例,进行统一的配置,结合实例代码给大家介绍的非常详细,需要的朋友可以参考下
    2022-12-12
  • java ThreadLocal 类常用方法源码解析

    java ThreadLocal 类常用方法源码解析

    这篇文章主要为大家介绍了java ThreadLocal类常用方法源码解析,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪
    2023-07-07
  • Java泛型与注解全面分析讲解

    Java泛型与注解全面分析讲解

    Java 泛型(generics)是 Jdk 5 中引入的一个新特性, 泛型提供了编译时类型安全检测机制,该机制允许程序员在编译时检测到非法的类型。Annotation(注解)是JDK1.5及以后版本引入的。它可以用于创建文档,跟踪代码中的依赖性,甚至执行基本编译时检查。需要的可以参考一下
    2022-08-08
  • Mybatis中mapper.xml实现热加载介绍

    Mybatis中mapper.xml实现热加载介绍

    大家好,本篇文章主要讲的是Mybatis中mapper.xml实现热加载介绍,感兴趣的同学赶快来看一看吧,对你有帮助的话记得收藏一下
    2022-01-01
  • Nacos注册中心的几种调用方式详解

    Nacos注册中心的几种调用方式详解

    Spring Cloud Alibaba Nacos 作为近几年最热门的注册中心和配置中心,也被国内无数公司所使用,本文就来看下 Nacos 作为注册中心时,调用它的接口有几种方式
    2023-10-10
  • java实现计算地理坐标之间的距离

    java实现计算地理坐标之间的距离

    java实现计算地理坐标之间的距离,主要是通过计算两经纬度点之间的距离来实现,有需要的小伙伴参考下吧
    2015-03-03
  • Spring AOP的入门教程

    Spring AOP的入门教程

    Spring AOP是Spring框架的一个模块,本文主要介绍了Spring AOP的入门教程,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2024-11-11

最新评论