将 .crt 添加到 Spring Boot 以启用 SSL

Question

我以前从未这样做过，大多数教程都没有提到如何处理 .crt 文件。

我从 GoDaddy 购买了 SSL 证书，下载时选择了 Tomcat 作为平台。 zip 文件包含 3 个文件：

dea08asdjakjawl.crt  
gd_bundle-g1-g1.crt  
gdig.crt.pem  

我在 CentOS7 服务器上有一个正在运行的 Spring Boot 应用程序（在端口 80 上带有嵌入式 Tomcat）。 （服务器在 Digital Ocean 上运行，它有一个分配的域，并且使用简单的 http）

我想换成https://something.com

所有教程都建议我必须有一个 .jks 或 .p12 文件，但我无法将 .crt 文件转换为那个文件。除此之外，我不确定 2 个 .crt 文件中的哪一个是我应该转换为 .jks/.p12 的文件。

我已将此添加到我的 application.yaml，但没有帮助：

server:    
  port: 443  
  ssl:  
    enabled: true  
    key-alias: server  
    key-store: "cert.crt"  
    key-store-password: "***"  

如何更改正在运行的 Spring Boot 项目以使用此证书接受 HTTPS 查询？

Answer 1

如果使用 Java，则使用 keytool 命令使用 -keystore 参数生成私钥和 CSR。我承认我不知道是否以及如何将现有的导入密钥库（keytool 允许导入证书），但可能有办法。

在最坏的情况下，使用密钥工具重新生成 CSR 并再次重新生成 SSL/TLS 证书 - 这应该不会产生额外费用。

Answer 2

你需要创建一个keystore和一个trusstore（或者使用java提供的默认trusstore）。密钥库将包含您的私钥和服务器证书。 truststore 将包含您的 ca 证书。 创建 p12 密钥库-

openssl pkcs12 -export -in [path/to/certificate] -inkey [path/to/privatekey] -certfile [path/to/ca/certificate ] -out keystore.p12

输入密钥库的密码。在您的 application.yaml 中配置此密钥库。

对于信任库条目，如果使用 java 的默认信任库，则将您的 ca 证书添加到 ...jre/lib/security/cacerts

keytool -import -trustcacerts -alias root -file ca.crt -keystore cacerts

或者您可以创建信任库，然后在您的 application.yaml 中配置此信任库

您可以在互联网上轻松找到所有用于转换/创建/导入/导出/列表的 keytool 命令...

提供了 3 个文件，您可以检查哪个是哪个 - 1.应该是你的证书 2.应该是ca证书链

Answer 3

所以正确的程序如下：

我不得不使用 Java 密钥库从头开始重新创建 CSR。

keytool -genkey -alias mydomain -keyalg RSA -keystore KeyStore.jks -keysize 2048

然后是一个新的 CSR：

keytool -certreq -alias mydomain -keystore KeyStore.jks -file mydomain.csr

必须将其重新发送给证书提供者以生成新的 .cer 文件。所以他们给我发回了上面提到的 2 个 .cer 文件，“捆绑”一个是中间 .cer，我需要像这样添加：

keytool -import -trustcacerts -alias intermediate -file intermediate.crt -keystore KeyStore.jks

然后是这样的实际“长名称” .cer 文件：

keytool -import -trustcacerts -alias mydomain -file mydomain.crt -keystore KeyStore.jks

那么这是可以像这样转换为 p12 的东西：

 keytool -importkeystore -srckeystore <MY_KEYSTORE.jks> -destkeystore <MY_FILE.p12> -srcstoretype JKS -deststoretype PKCS12 -deststorepass <PASSWORD_PKCS12> -srcalias <ALIAS_SRC> -destalias <ALIAS_DEST>

最后 application.properties 需要额外的行，变成了这样：

server.port=443
server.ssl.enabled=true
security.require-ssl=true
server.ssl.key-store=keystore.p12
server.ssl.key-store-password=password
server.ssl.key-alias=domain
server.ssl.key-password=password

它终于起作用了。

Answer 4

如果你想将 Openssl 添加到 Spring Boot 中。

如果您已经安装了 openssl 软件，请按照以下步骤操作。 //创建密钥和公共证书

openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 365 -out certificate.pem

//测试

openssl x509 -text -noout -in certificate.pem

//结合密钥和公共证书

openssl pkcs12 -inkey key.pem -in certificate.pem -export -out certificate.p12

//测试 openssl pkcs12 -in certificate.p12 -noout -info

在 Spring Boot 属性中添加如下

server.ssl.enabled=true
server.ssl.key-store-type=PKCS12
# The path to the keystore containing the certificate
server.ssl.key-store=classpath:certificate.p12
# The password used to generate the certificate
server.ssl.key-store-password=password

reference

Answer 5

我之前在使用 Spring Boot 时遇到过这个问题。证书颁发机构向我发送了一个文件夹，其中包含：

• domain-name.crt（针对域名生成的证书文件）
• bundle.crt（包含 CA 根证书和/或中间证书 reference。有关 CA 根证书和中间证书 click here 的详细信息。

Spring Boot 只能理解 .JKS / PKCS12 中的证书文件。我们需要将 .CRT 文件转换为 .JKS 格式文件。步骤如下：

1. 将证书转换为 PKCS12 格式 openssl pkcs12 -export -in <domain-name.crt> -inkey </path-to private.key> -name <alias-name> -out <domain-name.p12>。这将生成一个 .p12 文件
2. 在 JKS 密钥库中导入 PKCS12 文件 keytool -importkeystore -deststorepass <pass-phrase> -destkeystore keystore.jks -srckeystore <your .p12 file> -srcstoretype PKCS12。将创建一个扩展名为 .jks 的文件。
3. 将 CA 捆绑证书导入 JKS 密钥库 keytool -import -alias <alias-name> -trustcacerts -file <bundle.crt> -keystore keystore.jks

注意：

Private.key 是您为 CA 生成的用于颁发证书的密钥。
pass-phrase 是用于保护您的私钥的密码.您提供的将创建 private.key。 For more info

最后将.jks 文件复制到您的项目/resource 文件夹并更新application.properies 文件。

server.ssl.key-store=classpath:keystore.jks
server.ssl.key-store-password=<pass-phrase>
server.ssl.key-alias=<alias-name>

它应该可以工作。