如何在Spring Boot中配置ssl?
我需要在春季启动时获得我宁静的服务支持ssl。虽然该服务应用程序成功启动,但是我无法在Chrome中访问该页面(版本:68.0.3440.106)。错误消息:ERR_SSL_VERSION_OR_CIPHER_MISMATCH
捕获的错误消息图像:
项目的pom.xml:
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<groupId>test</groupId>
<artifactId>spring-restful-server-https</artifactId>
<version>1.0.0</version>
<packaging>jar</packaging>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.0.3.RELEASE</version>
</parent>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
</dependencies>
<properties>
<java.version>1.8</java.version>
</properties>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>
</project>
配置文件(密码已被有意屏蔽):
server.port=8443
server.ssl.key-store=classpath:shq.jks
server.ssl.key-store-password=******
server.ssl.key-password=******
控制器类:
package test.spring_restful_server_https;
import java.util.concurrent.atomic.AtomicLong;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;
@RestController
public class GreetingController {
private static final String template = "Hello, %s!";
private final AtomicLong counter = new AtomicLong();
@RequestMapping("/greeting")
public Greeting greeting(@RequestParam(value="name", defaultValue="World") String name) {
return new Greeting(counter.incrementAndGet(),
String.format(template, name));
}
}
我使用java keytool生成shq.jks文件。
keytool命令:
keytool -genkeypair -alias shq -keystore shq.jks
执行后:
keytool -list -keystore shq.jks -v
jks文件信息(我的环境是中文,所以我翻译了信息并放在括号中):
密钥库类型(keystore type): JKS
密钥库提供方(keystore provider): SUN
您的密钥库包含 1 个条目(your keystore contains 1 entry)
别名(alias name): shq
创建日期(creation date): 2018-8-16
条目类型(entry type): PrivateKeyEntry
证书链长度(certificate chain length): 1
证书(certificate)[1]:
所有者(owner): CN=shq, OU=home, O=home, L=shanghai, ST=shanghai, C=cn
发布者(issuer): CN=shq, OU=home, O=home, L=shanghai, ST=shanghai, C=cn
序列号(serial number): 279abe96
有效期开始日期(valid from): Thu Aug 16 21:02:31 CST 2018, 截止日期(until): Wed Nov 14 21:02:31 CST 2018
证书指纹(certificate fingerprints):
MD5: 78:E1:91:21:04:AC:38:F1:0B:30:D8:51:69:FD:BE:28
SHA1: 8A:D5:1C:26:69:6B:5C:50:75:A6:E8:BE:66:2F:58:01:68:8F:78:1A
SHA256: 74:0F:F1:0D:59:75:93:3B:BD:55:75:3D:F1:E8:23:17:CE:5D:C0:14:63:0D:D9:53:54:29:C2:C4:70:5A:82:C0
签名算法名称(signature algorithm name): SHA1withDSA
版本(version): 3
扩展(extensions):
#1: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: AF 9F 16 35 95 36 FD 13 0C EA 19 F8 A0 D0 E3 6F ...5.6.........o
0010: A6 CB BB EE ....
]
]
1 个答案:
答案 0 :(得分:1)
keytool -genkeypair默认情况下会创建DSA密钥和(自签名)证书,并且 Chrome显然不再支持任何使用DSA的密码套件(SSL / TLS将其用作歇斯底里的葡萄干)。我知道它在过去曾做过,因为我曾经那样使用过,但是我确定最后一次是很久以前的事了。要解决此问题,请添加-keyalg rsa。另外,如果您不使用Java的当前版本或最新版本,则keytool可能默认为1024位,这已经被正式禁止(不安全)了好几年了(尽管我很漂亮 确保Chrome浏览器尚未对手动输入的证书强制实施);为了安全起见,还请添加-keysize 2048。
但这还不够。默认情况下,keytool -genkeypair创建不带扩展名的证书,尤其是不带“ SAN”扩展名的证书(主题备用名称)。自本世纪初以来,SAN已被HTTP证书推荐。从去年开始,Chrome 需要。幸运的是,如果您add -ext SAN=type:value[,...],keytool的最新版本可以生成SAN。但是请注意,SAN中的值必须匹配用于连接的名称 :如果您按照帖子中所示告诉浏览器https://127.0.0.1:port/,则证书的SAN必须包含IP:127.0.0.1的条目;像DNS:myhost.foo这样的域名的条目是另一个名称,并且不匹配,即使myhost.foo解析为地址127.0.0.1也不会被接受。 SAN支持多个条目,因此您可以根据需要拥有一个或多个IP和/或一个或多个DNS。 (如果您使用其他浏览器,您现在可以省去SAN,如果 您确实使Subject字段“ CN”(通用名称)匹配(并且只能包含一个值),但是我不会赌多长时间。)
如果您不知道,因为您没有提到它,那么可以使用keytool(或其他类似openssl req -new -x509的东西)生成的自签名证书整个网络(包括此处的Stack)都将被视为不受信任,默认情况下无效。您必须先将其添加到浏览器的信任库中,然后才能被信任。由于Chrome使用底层系统的信任库,因此您可以通过Chrome或其他方式(具体取决于未标识的系统)来执行此操作。
如果您打算从其他客户端访问此文件,就像我想的那样,其他客户端使用的信任库通常取决于客户端,关于这些您什么也没说。
添加:看起来这发生在2016年;他们删除了所有DHE密钥交换,作为防止DHE aka Logjam太小的粗略方法,唯一的DSA(DSS)密钥交换要求DHE。 https://bugs.chromium.org/p/chromium/issues/detail?id=619194
- 如何在Spring Boot中配置CharacterEncodingFilter?
- 如何配置默认的DispatcherServlet?
- 配置Spring Boot以防止Logjam攻击
- 如何配置Spring启动应用程序以通过MySQL使用SSL / TLS?
- Spring Boot - 启用并配置SSL证书
- 如何配置Spring Boot 2 WebFlux以使用SSL?
- 如何在YML文件spring boot中配置SSL mongodb连接?
- 如何在Spring Boot中配置ssl?
- 如何从Java代码配置Spring Boot服务器(初始化时)?
- 如何配置Nginx将https流量重定向到我的Springboot应用程序
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?