1、java生成HTTPS证书:

既然是双向验证,就需要双方的密钥,我们服务端称为localhost,而客户端称为client。需要生成双方的密钥文件,并把对方的cert导入自己的密钥文件里。整个过程如下:
注意:密码统一为:changeit,这个密码自己可以设置,然后记住就可以了。
生成服务端密钥文件localhost.jks:

keytool -genkey -alias localhost -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keystore localhost.jks -dname CN=localhost,OU=Test,O=pkslow,L=Guangzhou,C=CN -validity 731 -storepass changeit -keypass changeit

导出服务端的cert文件:

keytool -export -alias localhost -file localhost.cer -keystore localhost.jks

生成客户端的密钥文件client.jks:

keytool -genkey -alias client -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keystore client.jks -dname CN=client,OU=Test,O=pkslow,L=Guangzhou,C=CN -validity 731 -storepass changeit -keypass changeit

导出客户端的cert文件:

keytool -export -alias client -file client.cer -keystore client.jks

把客户端的cert导入到服务端:

keytool -import -alias client -file client.cer -keystore localhost.jks

把服务端的cert导入到客户端:

keytool -import -alias localhost -file localhost.cer -keystore client.jks

检验服务端是否具有自己的private key和客户端的cert:

keytool -list -keystore localhost.jks

为了建立连接,应该要把客户端的密钥文件给谷歌浏览器使用。因为JKS是Java的密钥文件格式,我们转换成通用的PKCS12格式如下:
转换JKS格式为P12:

keytool -importkeystore -srckeystore client.jks -destkeystore client.p12 -srcstoretype JKS -deststoretype PKCS12 -srcstorepass changeit -deststorepass changeit -srckeypass changeit -destkeypass changeit -srcalias client -destalias client -noprompt

成功执行完上述步骤后,会生成5个文件:

  • 服务端密钥文件: localhost.jks
  • 服务端cert文件:localhost.cer
  • 客户端密钥文件:client.jks
  • 客户端cert文件:client.cer
  • 客户端能识别的密钥文件:client.p12

2、配置SpringBoot:

在application.properties或者application.yml中去配置即可:

server.port=443

server.ssl.enabled=true
server.ssl.key-store-type=JKS
server.ssl.key-store=classpath:localhost.jks
server.ssl.key-store-password=changeit
server.ssl.key-alias=localhost

server.ssl.trust-store=classpath:localhost.jks
server.ssl.trust-store-password=changeit
server.ssl.trust-store-provider=SUN
server.ssl.trust-store-type=JKS
server.ssl.client-auth=need

需要将生成的localhost.jks文件放到springboot项目中的resource文件夹下,然后重启项目,就可以了
需要分别配置Key Store和Trust Store的文件、密码等信息,即使是同一个文件。
需要注意的是,server.ssl.client-auth有三个可配置的值:none、want和need。双向验证应该配置为need;none表示不验证客户端;want表示会验证,但不强制验证,即验证失败也可以成功建立连接。

3、用Postman测试双向验证:

完成密钥文件准备和配置后,启动SpringBootbian便可以了,我这里用谷歌浏览器访问如下:

java ssl证书请求 java生成https证书_客户端


然后我将生成的证书导入到浏览器中,重启浏览器继续访问测试接口,就会提示我们选择证书,点击我们导入的证书就可以正常访问了。

如何在浏览器中导入证书呢?

打开谷歌浏览器,找到设置->隐私设置和安全性->安全->管理设备证书->导入,按步骤提示导入就可以了,导入的是client.p12这个文件,

java ssl证书请求 java生成https证书_服务端_02

需要输入密码就是我们前面设置的changeit,当然你设置了其他的密码,正常输入就可以了。

java ssl证书请求 java生成https证书_客户端_03

然后重启浏览器再次访问,记得是https开头的URL,就会提示我们选择证书,选择我们导入的证书,点击确定就可以了。

java ssl证书请求 java生成https证书_服务端_04

至于单向认证只需要我们将server.ssl.client-auth的值改为none就可以了,这样我们就不需要在客户端浏览器导入证书了,访问遇到警告,点击滤过继续访问就可以正常访问了

java ssl证书请求 java生成https证书_java ssl证书请求_05

至此整个认证过程就结束了,原创不易,希望各位客官点赞收藏加转发,一键三连,明日面试过关斩将!