1、win实现,请查阅上一篇win系统下基于springboot实现https的双向认证的相关内容噢。
2、Linux下具体实现
2.1 环境准备
服务器信息如下:
| 操作系统 | ip | 说明 |
|---|---|---|
| Centos 7 | 192.168.0.202 | 作为服务端 |
| Centos 7 | 192.168.0.203 | 作为客户端 |
浏览器采用chrome。
2.2 操作步骤
注意:文章中贴的图采用上一篇的Win系统下贴出的图,linux下未截图,但命令为linux下的操作命令,可直接使用命令。
2.2.1 server端
1、生成服务端sslTestServer.p12文件
keytool -genkey -v -alias sslFjsTestServer -keyalg RSA -storetype PKCS12 -keystore /usr/ghj/ca/server/sslFjsTestServer.p12
如图1所示:
图1
注意!!!啦,【"您的名字与姓氏是什么"】此处填服务器的ip或对应系统的域名。
2、导出服务端公钥sslTestServer.cer 文件
keytool -keystore /usr/ghj/ca/server/sslFjsTestServer.p12 -export -alias sslFjsTestServer -file /usr/ghj/ca/server/sslFjsTestServer.cer
如图2所示:
图2
2.2.2 client端
1、生成客户端sslTestClient.p12文件
keytool -genkey -v -alias sslFjsTestClient -keyalg RSA -storetype PKCS12 -keystore /usr/ghj/ca/client/sslFjsTestClient.p12
图3
注意!!!啦,【"您的名字与姓氏是什么"】此处填服务器的ip或对应系统的域名。
2、导出客户端公钥sslTestClient.cer 文件
keytool -keystore /usr/ghj/ca/client/sslFjsTestClient.p12 -export -alias sslFjsTestClient -file /usr/ghj/ca/client/sslFjsTestClient.cer
图4
2.2.3 信任库
将Client端和Server端的公钥文件(.cer文件)导入双方系统的jre运行环境的cacerts证书库(双向认证需要操作此步骤)
1、将客户端公钥导入的服务端jdk信任库
keytool -import -alias sslFjsTestClient -file /usr/ghj/ca/client/sslFjsTestClient.cer -keystore /usr/lib/jvm/java-1.8.0-openjdk/jre/lib/security/cacerts –v
图5
2、将服务端公钥导入到客户端的jdk信任库
keytool -import -alias sslFjsTestServer -file /usr/ghj/ca/server/sslFjsTestServer.cer -keystore /usr/lib/jvm/java-1.8.0-openjdk/jre/lib/security/cacerts –v
图6
2.2.4 证书库
1、将客户端公钥导入到服务端Server.p12证书库
keytool -import -alias sslFjsTestClient -v -file /usr/ghj/ca/client/sslFjsTestClient.cer -keystore /usr/ghj/ca/jdk/sslFjsTestServer.p12
图7
2.3 证书文件
图8
3、Spirngboot配置
3.1.1 将[sslTestServer.p12]放入resource下:
图9
3.1.2 Spirngboot配置如下:
server:
# 测试环境
port: 8000
ssl:
enabled: true
key-store-type: JKS
# key-store: src/main/resources/sslTestServer.p12
key-store: classpath:sslTestServer.p12
key-store-password: test123456
key-alias: sslTestServer
trust-store-password: test123456
trust-store-type: JKS
trust-store-provider: SUN
client-auth: need
address: 192.168.0.202
注意:分别配置Key Store和Trust Store的文件、密码等信息。
server.ssl.client-auth有三个可配置的值:none、want和need。
双向验证应该配置为need;
none表示不验证客户端;want表示会验证,但不强制验证,即验证失败也可以成功建立连接。
3.1.3 测试
启动项目:
图10
浏览器输入:
图11
图12
输入证书:
浏览器导入证书后,即可访问到数据。
3.1.4 用postman测试
get请求:
图13
添加sslDevClient.p12:
图14
图15
加入客户端证书后,再次尝试GET请求:
图16
至此,Linux下springboot实现https双向认证实现完毕。
linux下实现springboot的https双向认证后,用docker部署至服务器,请参考下篇噢。稍后附上链接。
