我需要在春季启动时获得宁静的服务支持SSL。虽然该服务应用程序成功启动,但是我无法在Chrome(version:68.0.3440.106)中访问该页面。错误信息:ERR_SSL_VERSION_OR_CIPHER_MISMATCH

错误消息的捕获图像:
java - 如何在Spring Boot中配置SSL?-LMLPHP

项目的pom.xml:

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
  <modelVersion>4.0.0</modelVersion>

  <groupId>test</groupId>
  <artifactId>spring-restful-server-https</artifactId>
  <version>1.0.0</version>
  <packaging>jar</packaging>

<parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.0.3.RELEASE</version>
    </parent>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
    </dependencies>

    <properties>
        <java.version>1.8</java.version>
    </properties>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>
</project>


配置文件(密码已被故意屏蔽):

server.port=8443
server.ssl.key-store=classpath:shq.jks
server.ssl.key-store-password=******
server.ssl.key-password=******


控制器类:

package test.spring_restful_server_https;

import java.util.concurrent.atomic.AtomicLong;

import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class GreetingController {

    private static final String template = "Hello, %s!";
    private final AtomicLong counter = new AtomicLong();

    @RequestMapping("/greeting")
    public Greeting greeting(@RequestParam(value="name", defaultValue="World") String name) {
        return new Greeting(counter.incrementAndGet(),
                            String.format(template, name));
    }
}


我使用java keytool生成shq.jks文件。
keytool命令:

keytool -genkeypair -alias shq -keystore shq.jks


执行后:

keytool -list -keystore shq.jks -v


jks文件信息(我的环境是中文,因此我翻译了信息并放在括号中):

密钥库类型(keystore type): JKS
密钥库提供方(keystore provider): SUN

您的密钥库包含 1 个条目(your keystore contains 1 entry)

别名(alias name): shq
创建日期(creation date): 2018-8-16
条目类型(entry type): PrivateKeyEntry
证书链长度(certificate chain length): 1
证书(certificate)[1]:
所有者(owner): CN=shq, OU=home, O=home, L=shanghai, ST=shanghai, C=cn
发布者(issuer): CN=shq, OU=home, O=home, L=shanghai, ST=shanghai, C=cn
序列号(serial number): 279abe96
有效期开始日期(valid from): Thu Aug 16 21:02:31 CST 2018, 截止日期(until): Wed Nov 14 21:02:31 CST 2018
证书指纹(certificate fingerprints):
         MD5: 78:E1:91:21:04:AC:38:F1:0B:30:D8:51:69:FD:BE:28
         SHA1: 8A:D5:1C:26:69:6B:5C:50:75:A6:E8:BE:66:2F:58:01:68:8F:78:1A
         SHA256: 74:0F:F1:0D:59:75:93:3B:BD:55:75:3D:F1:E8:23:17:CE:5D:C0:14:63:0D:D9:53:54:29:C2:C4:70:5A:82:C0
         签名算法名称(signature algorithm name): SHA1withDSA
         版本(version): 3

扩展(extensions):

#1: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: AF 9F 16 35 95 36 FD 13   0C EA 19 F8 A0 D0 E3 6F  ...5.6.........o
0010: A6 CB BB EE                                        ....
]
]

最佳答案

默认情况下,keytool -genkeypair创建一个DSA密钥和(自签名)证书,Chrome显然不再支持任何使用DSA的密码套件(SSL / TLS将其用作歇斯底里的葡萄干)。我知道它在过去曾做过,因为我曾经那样使用过,但是我确定最后一次是很久以前的事了。要解决此问题,请添加-keyalg rsa。另外,如果您未使用Java的当前版本或最新版本,则keytool可能默认为1024位,这已经被正式禁止(不安全)了好几年了(尽管我很确定Chrome尚未强制执行)它在手动输入的证书上);为了安全起见,还添加-keysize 2048

但这还不够。默认情况下,keytool -genkeypair创建的证书不带扩展名,尤其是不带“ SAN”扩展名(主题备用名称)的证书。自本世纪初以来,SAN就一直被推荐用于HTTPS证书,而从去年起,Chrome要求使用SAN。幸运的是,如果您add keytool-ext SAN=type:value[,...]的最新版本可以生成SAN。但是请注意,SAN中的值必须与用于连接的名称匹配:如果您按照帖子中所示告诉浏览器https://127.0.0.1:port/,则证书的SAN必须包含IP:127.0.0.1条目;像DNS:myhost.foo这样的域名的条目是一个不同的名称,并且不匹配,即使myhost.foo解析为地址127.0.0.1也不会被接受。 SAN支持多个条目,因此您可以根据需要拥有一个或多个IP和/或一个或多个DNS。 (如果您使用其他浏览器,那么您现在可以省去SAN,如果您使Subject字段“ CN”(通用名称)匹配(并且只能包含一个值),但是我不会打赌多长时间。)

如果您不知道,因为您没有提到它,那么它是由keytool(或由openssl req -new -x509等许多其他东西生成的自签名证书)生成的,您可以在网上找到包括堆栈)将被视为不受信任,默认情况下无效。您必须先将其添加到浏览器的信任库中,然后才能被信任。由于Chrome使用底层系统的信任库,因此您可以通过Chrome或其他方式(具体取决于未标识的系统)来执行此操作。
如果您打算像我假设的那样从其他客户端访问它,则不同客户端使用的信任库通常取决于客户端,关于这些您什么也没说。

新增:看起来这发生在2016年;他们删除了所有DHE密钥交换,作为防止DHE或Logjam太小的粗略方法,唯一的DSA(DSS)密钥交换要求DHE。 https://bugs.chromium.org/p/chromium/issues/detail?id=619194

关于java - 如何在Spring Boot中配置SSL?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/51878511/

10-10 10:27