1 簡介
HTTP是不安全的,我們需要在它套上SSL,讓它變成HTTPS。本文章將以實例介紹Springboot整合HTTPS。
2 密碼學基礎
要談https就要談Security,自然就要談安全;談及安全,就必然涉及密碼學的一些知識。
2.1 密碼體制
要建立一個密碼體制,需要由五個空間組成,分別是:
明文M:加密前或解密後的訊息;
密文C:明文加密後的訊息;
密鑰K:由加密金鑰和解密金鑰組成;
加密E:從明文到密文的變換;
解密D:從密文到明文的變換。
如圖所示:
2.2 兩種加密方式
2.2.1 對稱加密
對稱加密,或也稱為單鑰加密,是指加密金鑰和解密金鑰相同(或容易由一個計算出另一個)的加密方式。
對稱加密的主要優點是:加密、解密運算速度快,效率高;
限制:金鑰分發複雜,金鑰管理困難,保密通訊系統開放性差,數位簽名;
代表演算法:DES演算法、AES演算法;
舉個小例子:
明文为48,加密算法f(x)=8x+71,
则密文C=8*48+71=455
则解密算法为f(x)=(x-71)/8;
则解密后的明文M=(455-71)/8=48;
登入後複製
2.2.2 非對稱加密
#非對稱加密是指加密和解密分別使用不同的金鑰,且不能由加密金鑰推導出解密金鑰的加密方式。
主要優點:金鑰分配簡單,便於管理,系統開放性好,可實現數位簽章;
限制:加密、解密運算效率較低;
#代表演算法:RSA演算法、ECC演算法;
舉個大例子:
步驟如下:
## Step | Description | Formula | Note |
1 | 找出兩個質數 | P、Q |
|
#2 | 計算公共模數 | #N =P*Q |
|
3 | #計算歐拉函數 | φ(N) = (P- 1)(Q-1) |
|
4 | 計算公鑰E##1 |
E的取值必須是整數E 與φ(N) 必須是互質數 |
|
5
| #計算私鑰D |
E * D % φ(N) = 1 |
|
|
6##加密 | C = M^E mod N | C:密文M:明文 |
| 7
解密 | M =C^ D mod N | C:密文M:明文 |
|
其中,公钥=(E , N) ,私钥=(D, N),对外,我们只暴露公钥。
1.找出两个质数
随便找两个质数,我们找P=5,Q=11。
2.计算公共模数
公共模数N=P*Q=5*11=55
3.计算欧拉函数
φ(N) = (P-1)(Q-1)=4*10=40
4.计算公钥E
1 <p>至此,整个非对称加密过程演示了一遍,希望大家能理解,特别是非对称加密,因为<strong>HTTPS</strong>使用的是非对称加密。实际的使用算法更复杂,密钥长度会更大。</p><h3 id="yisu3h-to139">2.3 证书</h3><p>要使用SSL,需要有证书,这个证书文件是包含公钥密钥,也就是非对称加密中要使用的。</p><p>获取证书有两种方式:</p>
登入後複製
为方便起见,在本次实例中使用自签证书,两种证书整合过程并无差异。
3 Springboot整合HTTPS
3.1 先让Web跑起来
作为一个Web应用,我们先让它跑起来,然后再整合https。
(1)引入Web依赖:
<dependency>
<groupid>org.springframework.boot</groupid>
<artifactid>spring-boot-starter-web</artifactid></dependency>
登入後複製
(2)配置端口:
(3)实现Contrlloer:
@RestControllerpublic class HelloController {@GetMapping("/hello")public String hello() {return "Welcome to www.pkslow.com";
}
}登入後複製
完成上面工作后,启动应用即可。
访问http://localhost/hello 得到下面结果,说明整个Web应用起来了。
3.2 生成密钥文件jks
通过命令行生成密钥文件如下:
keytool -genkey -alias localhost -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keystore localhost.jks -dname CN=localhost,OU=Test,O=pkslow,L=Guangzhou,C=CN -validity 731 -storepass changeit -keypass changeit
登入後複製
命令行重要参数的意义:
执行完以上命令后,就会生成localhost.jks文件,把该文件放到classpath下即可,当然也可以放到其它位置,配置文件指定正确即可。
3.3 重新配置并重启
按照实际情况重新配置application.properties文件:
server.port=443server.ssl.enabled=trueserver.ssl.key-store-type=jksserver.ssl.key-store=classpath:localhost.jksserver.ssl.key-store-password=changeitserver.ssl.key-alias=localhost
登入後複製
重启后访问如下:
发现有红色警告,因为这是自签名的cert,并不被Chrome所认可,所以会校验失败。以前的Chrome版本只是警告,但还是可以访问的,现在新版本的已经不能访问了。
通过Postman来访问便可:
3.4 使用PKS12格式
如果想使用PKCS12替换JKS,命令和配置可以参考下面:
生成密钥:
keytool -genkey -alias localhost -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -storetype PKCS12 -keystore localhost.p12 -dname CN=localhost,OU=Test,O=pkslow,L=Guangzhou,C=CN -validity 731 -storepass changeit -keypass changeit
登入後複製
配置文件如下:
server.port=443server.ssl.enabled=trueserver.ssl.key-store-type=PKCS12server.ssl.key-store=classpath:localhost.p12server.ssl.key-store-password=changeitserver.ssl.key-alias=localhost
登入後複製
以上是Springboot怎麼整合https的詳細內容。更多資訊請關注PHP中文網其他相關文章!
