免费给 Spring Boot 加个证书

2023-10-14 16:59

本文主要是介绍免费给 Spring Boot 加个证书,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

点击“终码一生”,关注,置顶公众号

每日技术干货,第一时间送达!

在本文中,我们将学习如何执行以下操作:

  • 免费生成有效证书

  • 用它配置一个 Spring Boot 应用程序

  • 到期时续订

在我之前的博客文章中,我们熟悉了带有自签名证书的 Spring Boot 应用程序的配置。自签名证书适用于特定目的,例如测试和开发。但是,如果需要将他的应用程序发送到生产环境,证书应该由已知且合法的证书颁发机构 (CA) 签署。

这些类型的证书通常很昂贵。如果您想使用 TLS 强化您的应用程序,您需要购买其中之一。应用程序服务器的价格和复杂的配置成为许多 Web 应用程序使用安全连接的障碍。

在后斯诺登时代,没有人需要说服我们使用 HTTPS 进行安全连接是必须的。为了提高开发人员和 IT 管理员对他们制作的每个网站使用此类技术的意识,我们付出了很多努力。但是怎么做?

Let's Encrypt项目旨在将 HTTPS 引入万维网,不仅免费,而且采用最简单的配置方式。

在本文中,我们将介绍:

  • 颁发证书和 Spring Boot 集成

  1. 如何使用 Let's Encrypt 生成证书 

  2. 如何从 PEM 文件生成 PCKS#12 文件

  3. Spring Boot 应用程序的配置

  • 续订(即将)过期的证书

  1. 续订流程

  2. 准备 Spring Boot

1、如何使用 Let's Encrypt 生成证书

Let's Encrypt 为一些应用服务器(如 Apache 和 Nginx)提供了几个插件。在本节中,由于我们的目标是 Spring Boot 应用程序(带有嵌入式 Jetty/Tomcat),我们只生成证书,然后与我们的应用程序集成。

如果您在服务器或云提供商处使用防火墙或任何其他安全机制,您应该放松几分钟,尤其是端口 80 和端口 443。

80 端口应该是开放的并且可以免费使用,因为 Let's Encrypt 在后台运行一个小型 HTTP 服务器来证明您是否控制您的域地址(ACME 协议)。

  • 您需要在您的域地址指向的服务器上获取Let's Encrypt 的源代码。此步骤可能需要几分钟时间。

$ git clone https://github.com/certbot/certbot
$ cd certbot
$ ./certbot-auto --help

备注:需预先安装 Python 2.7.8(或以上)。

  • 通过在您的终端中执行以下命令,Let's Encrypt 会为您生成证书和私钥。

$ ./certbot-auto certonly -a standalone \-d seeld.eu -d www.seeld.eu

密钥在/etc/letsencrypt/live/seeld.eu中生成。 

备注:  'certonly' 表示该命令不附带任何特殊插件,如 Apache 或 Nginx。“独立”意味着 Let's encrypt 将自动在端口 80 上创建一个简单的 Web 服务器,以证明您控制了域。

2、如何从 PEM 文件生成 PKCS12 文件

证书私钥分两步免费生成,可见Let's Encrypt的简单性。所有这些生成的材料都带有PEM扩展,Spring Boot 不支持该扩展。Spring Boot 不支持 Let's Encrypt 生成的 PEM 文件。Spring Boot 支持 PKCS12扩展。使用 OpenSSL,我们将证书和私钥转换为 PKCS12。

要将 PEM 文件转换为 PKCS12 版本:

  1. 转到 /etc/letsencrypt/live/seeld.eu。

  2. 我们在终端中使用 OpenSSL 将密钥转换为 PKCS12,如下所示。

$ openssl pkcs12 -export -in fullchain.pem \-inkey privkey.pem \-out keystore.p12-name tomcat \-CAfile chain.pem \-caname root

现在在“/etc/letsencrypt/live/seeld.eu”中生成带有 PKCS12 的文件“keystore.p12”。

3、Spring Boot 应用程序的配置

现在我们想要配置我们的 Spring Boot 应用程序以从证书和私钥中受益,并最终准备好 HTTPS。此时,我们已经生成了我们的证书和私钥。然后我们将密钥转换为 PKCS12 扩展,该扩展已准备好用于 Spring 应用程序。

  1. 打开你的'application.properties'

  2. 把这个配置放在那里

server.port: 8443
security.require-ssl=true
server.ssl.key-store:/etc/letsencrypt/live/seeld.eu/keystore.p12
server.ssl.key-store-password: <your-password>
server.ssl.keyStoreType: PKCS12
server.ssl.keyAlias: tomcat

备注'require - ssl' - 表示您的服务器仅处理受 HTTPS 保护的请求。

如果您访问 https://seeld.eu:8443,您可以看到 HTTPS 已成功配置并且最重要的是可以正常工作。为了我们的项目,我们做了一些额外的步骤来让 HTTPS 使用端口 80。您可以使用 https://seeld.eu URL 浏览它。

4、续订过程

Let's Encrypt 证书的有效期只有90 天。有人可能会说,与其他提供商提供的证书的有效期相比,3 个月太短了。他们做出这个严格决定有两个动机:限制密钥泄露或错误发布造成的损害,以及鼓励自动化。所以让我们开始吧!

  • 打开您的 Let's Encrypt 客户端目录,我的意思是 certbot。

备注:在证书和密钥所在的同一台机器上。请阅读章节中的所有备注,例如安装 python、打开端口 80 等。

  • 按如下方式运行更新命令。

$ sudo ./certbot-auto renew

此命令检查位于本机(由 Let's Encrypt 管理)中的证书的到期日期,并更新已过期或即将过期的证书。

我们有新证书,就这么简单! 

如本节所述:Spring Boot 不支持 Let's Encrypt 生成的 PEM 文件。Spring Boot 支持 PKCS12 扩展。使用 OpenSSL,我们将证书和私钥转换为 PKCS12。

5、准备 Spring Boot

让我们创建一个 PKCS#12 密钥库!

  • 转到 /etc/letsencrypt/live/seeld.eu

  • 我们在终端中使用 OpenSSL 将密钥转换为 PKCS12,如下所示。

$ openssl pkcs12 -export -in fullchain.pem \-inkey privkey.pem \-out keystore.p12-name tomcat \-CAfile chain.pem \-caname root

现在在“/etc/letsencrypt/live/seeld.eu”中生成带有 PKCS12的文件“ keystore.p12 ”。

可是等等!

我假设您正在使用的机器是运行 Spring Boot 的机器。这意味着我们还没有完成!之前的' keystore.p12 '还在内存中,意味着你需要重启你的应用程序! 

简单地重新启动正在运行的应用程序并不总是可行的。可能还有其他方法可以在不重新启动的情况下对其进行更新,但这不在本文的讨论范围内。

6、最后

在这篇文章中,我们了解了如何颁发、更新 Let's Encrypt 证书,最重要的是,将其与 Spring Boot 集成。只需不到 5 分钟即可准备好所有东西。

对我来说,主要的信息是 Let's Encrypt 让(重新)颁发证书对每个人来说都非常快速、简单和便宜,无论你管理多少服务!您应该尽快开始使用 HTTPS。

PS:防止找不到本篇文章,可以收藏点赞,方便翻阅查找哦

这篇关于免费给 Spring Boot 加个证书的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/211877

相关文章

java使用protobuf-maven-plugin的插件编译proto文件详解

《java使用protobuf-maven-plugin的插件编译proto文件详解》:本文主要介绍java使用protobuf-maven-plugin的插件编译proto文件,具有很好的参考价... 目录protobuf文件作为数据传输和存储的协议主要介绍在Java使用maven编译proto文件的插件

Java中的数组与集合基本用法详解

《Java中的数组与集合基本用法详解》本文介绍了Java数组和集合框架的基础知识,数组部分涵盖了一维、二维及多维数组的声明、初始化、访问与遍历方法,以及Arrays类的常用操作,对Java数组与集合相... 目录一、Java数组基础1.1 数组结构概述1.2 一维数组1.2.1 声明与初始化1.2.2 访问

Javaee多线程之进程和线程之间的区别和联系(最新整理)

《Javaee多线程之进程和线程之间的区别和联系(最新整理)》进程是资源分配单位,线程是调度执行单位,共享资源更高效,创建线程五种方式:继承Thread、Runnable接口、匿名类、lambda,r... 目录进程和线程进程线程进程和线程的区别创建线程的五种写法继承Thread,重写run实现Runnab

Java 方法重载Overload常见误区及注意事项

《Java方法重载Overload常见误区及注意事项》Java方法重载允许同一类中同名方法通过参数类型、数量、顺序差异实现功能扩展,提升代码灵活性,核心条件为参数列表不同,不涉及返回类型、访问修饰符... 目录Java 方法重载(Overload)详解一、方法重载的核心条件二、构成方法重载的具体情况三、不构

Java通过驱动包(jar包)连接MySQL数据库的步骤总结及验证方式

《Java通过驱动包(jar包)连接MySQL数据库的步骤总结及验证方式》本文详细介绍如何使用Java通过JDBC连接MySQL数据库,包括下载驱动、配置Eclipse环境、检测数据库连接等关键步骤,... 目录一、下载驱动包二、放jar包三、检测数据库连接JavaJava 如何使用 JDBC 连接 mys

SpringBoot线程池配置使用示例详解

《SpringBoot线程池配置使用示例详解》SpringBoot集成@Async注解,支持线程池参数配置(核心数、队列容量、拒绝策略等)及生命周期管理,结合监控与任务装饰器,提升异步处理效率与系统... 目录一、核心特性二、添加依赖三、参数详解四、配置线程池五、应用实践代码说明拒绝策略(Rejected

一文详解SpringBoot中控制器的动态注册与卸载

《一文详解SpringBoot中控制器的动态注册与卸载》在项目开发中,通过动态注册和卸载控制器功能,可以根据业务场景和项目需要实现功能的动态增加、删除,提高系统的灵活性和可扩展性,下面我们就来看看Sp... 目录项目结构1. 创建 Spring Boot 启动类2. 创建一个测试控制器3. 创建动态控制器注

Java操作Word文档的全面指南

《Java操作Word文档的全面指南》在Java开发中,操作Word文档是常见的业务需求,广泛应用于合同生成、报表输出、通知发布、法律文书生成、病历模板填写等场景,本文将全面介绍Java操作Word文... 目录简介段落页头与页脚页码表格图片批注文本框目录图表简介Word编程最重要的类是org.apach

Spring Boot中WebSocket常用使用方法详解

《SpringBoot中WebSocket常用使用方法详解》本文从WebSocket的基础概念出发,详细介绍了SpringBoot集成WebSocket的步骤,并重点讲解了常用的使用方法,包括简单消... 目录一、WebSocket基础概念1.1 什么是WebSocket1.2 WebSocket与HTTP

SpringBoot+Docker+Graylog 如何让错误自动报警

《SpringBoot+Docker+Graylog如何让错误自动报警》SpringBoot默认使用SLF4J与Logback,支持多日志级别和配置方式,可输出到控制台、文件及远程服务器,集成ELK... 目录01 Spring Boot 默认日志框架解析02 Spring Boot 日志级别详解03 Sp