1、理论基础。
1.1 什么是HTTPS:
HTTPS 协议(HyperText Transfer Protocol over Secure Socket Layer):一般理解为HTTP+SSL/TLS,通过 SSL证书来验证服务器的身份,并为浏览器和服务器之间的通信进行加密。
通俗点说,就是采用http通讯的安全传输协议,用来保证http传输过程中数据的机密性、完整性和可靠性,ssl需要证书。(https = http + ssl)
1.2 什么是SSL:
SSL(Secure Socket Layer,安全套接字层):1994年为 Netscape 所研发,SSL 协议位于 TCP/IP 协议与各种应用层协议之间,为数据通讯提供安全支持。SSL是用于在web上实现加密最广泛使用的协议,SSL就是https协议的加密核心,SSL使用加密过程的组合提供了互联网通信安全。
1.3 证书:
SSL证书的种类有【自建证书】和【CA证书】两种。
CA是Certificate Authority的简称,即证书的签发机构,它是PKI的核心。
一般来说,CA是具有权威性的机构,获取证书是要花钱的;
但有没有免费的证书呢?答案是"有"。
所以,不想用CA机构签发的证书又想要实现https,就要自己生成证书,(文章后面有详细步骤。)但浏览前一般认为这是不安全,但别急,还是有解决办法滴。嘻嘻嘻...
1.3.1 自建证书
顾名思义就是自己创建的证书,本文通过keytool生成证书。
1.3.2 CA证书
从证书授权机构申请, 有收费和免费两种,免费时长应该是一年,收费费用不担心的,可以采用收费噢。
1.3.3 流程
发送请求时使用证书里面的秘钥对请求信息做加密处理, 到客户端再用秘钥进行解密, 这些都是系统帮你自动完成的。
1.4 认证
1.4.1 单向认证
单向认证
无需做任何处理,只需要把【http://】变成【https://】
网络通讯是双向的,但安全认证不一定是双向的。大多数情况下可能都是单向的,只要客户端确认服务端是可靠的,服务端不管客户端是否可靠。比如浏览器会验证服务端证书,服务端不需要客户端证书即可放行。
1.4.2 双向认证
双向认证即客户端需要确认服务端是否可信,服务端也需要确认客户端是否可信。双方都要验证对方的证书,验证通过才会放行,反之,不放行。
2、具体实现
2.1 环境准备
服务器信息如下:
| 操作系统 | ip | 说明 |
|---|---|---|
| win 10 | 192.168.0.27 | 作为服务端 |
| win 10 | 192.168.0.248 | 作为客户端 |
浏览器采用chrome。
2.2 操作步骤
2.2.1 server端
1、生成服务端sslDevServer.p12文件
keytool -genkey -v -alias sslDevServer -keyalg RSA -storetype PKCS12 -keystore F:\ghj\prooooject\dev\ca\sslDevServer.p12
如图1所示:
注意!!!啦,【"您的名字与姓氏是什么"】此处填服务器的ip或对应系统的域名。
2、导出服务端公钥sslDevServer.cer 文件
keytool -keystore F:\ghj\prooooject\dev\ca\sslDevServer.p12 -export -alias sslDevServer -file F:\ghj\prooooject\dev\ca\sslDevServer.cer
如图2所示:
2.2.2 client端
1、生成客户端sslDevClient.p12文件
keytool -genkey -v -alias sslDevClient -keyalg RSA -storetype PKCS12 -keystore F:\ghj\prooooject\dev\ca\sslDevClient.p12
注意!!!啦,【"您的名字与姓氏是什么"】此处填服务器的ip或对应系统的域名。
2、导出客户端公钥sslDevClient.cer 文件
keytool -keystore F:\ghj\prooooject\dev\ca\sslDevClient.p12 -export -alias sslDevClient -file F:\ghj\prooooject\dev\ca\sslDevClient.cer
2.2.3 信任库
将Client端和Server端的公钥文件(.cer文件)导入双方系统的jre运行环境的cacerts证书库(双向认证需要操作此步骤)
1、将客户端公钥导入的服务端jdk信任库
keytool -import -alias sslDevClient -file F:\ghj\prooooject\dev\ca\sslDevClient.cer -keystore 'C:\Program Files\Java\jdk1.8.0_261\jre\lib\security\cacerts' –v
注意:此处应输入"changeit"
2、将服务端公钥导入到客户端的jdk信任库
keytool -import -alias sslDevServer -file F:\ghj\prooooject\dev\ca\sslDevServer.cer -keystore 'C:\Program Files\Java\jdk1.8.0_261\jre\lib\security\cacerts' –v
注意:此处应输入"changeit"
2.2.4 证书库
1、将客户端公钥导入到服务端Server.p12证书库
keytool -import -alias sslDevClient -v -file F:\ghj\prooooject\dev\ca\sslDevClient.cer -keystore F:\ghj\prooooject\dev\ca\test\jdk\sslDevServer.p12
2.3 证书文件
3、Spirngboot配置
3.1.1 将[sslDevServer.p12]放入resource下:
3.1.2 Spirngboot配置如下:
server:
# 测试环境
port: 8000
ssl:
enabled: true
key-store-type: JKS
# key-store: src/main/resources/sslDevServer.p12
key-store: classpath:sslDevServer.p12
key-store-password: dev123456
key-alias: sslDevServer
trust-store-password: dev123456
trust-store-type: JKS
trust-store-provider: SUN
client-auth: need
address: 192.168.0.27
注意:分别配置Key Store和Trust Store的文件、密码等信息。
server.ssl.client-auth有三个可配置的值:none、want和need。
双向验证应该配置为need;
none表示不验证客户端;want表示会验证,但不强制验证,即验证失败也可以成功建立连接。
3.1.3 测试
启动项目:
浏览器输入:
输入证书:
浏览器导入证书后,即可访问到数据。
3.1.4 用postman测试
get请求:
添加sslDevClient.p12:
加入客户端证书后,再次尝试GET请求:
至此,springboot实现https双向认证实现完毕。
linux下的实现方法,请参考下篇Linux下基于springboot实现https的双向认证
的相关内容噢。
