作者丨Emad Heydari Beni

編譯丨仇凱

審校丨孫淑娟、梁策

在這篇文章中，我們將學(xué)習(xí)以下內(nèi)容：

1.免費(fèi)制作一個(gè)有效可用的證書(shū)

2.在 Spring Boot 應(yīng)用中配置此證書(shū)

3.自動(dòng)更新證書(shū)有效期

在之前的文章中，我們已經(jīng)熟悉了如何通過(guò)自簽名證書(shū)配置 Spring Boot 應(yīng)用。自簽名證書(shū)對(duì)于開(kāi)發(fā)和測(cè)試來(lái)說(shuō)是很好的方法。但是，如果想要將應(yīng)用發(fā)布至生產(chǎn)環(huán)境，那么證書(shū)就需要由已知合法的證書(shū)頒發(fā)機(jī)構(gòu)(Certificate Authorities，CA)簽署。這些證書(shū)通常價(jià)格不菲，如果想使用 TLS 保護(hù)應(yīng)用，就需要購(gòu)買(mǎi)此類(lèi)證書(shū)。服務(wù)器價(jià)格和配置的復(fù)雜性成為許多 Web 應(yīng)用程序使用 HTTPS 的阻礙。

在后斯諾登時(shí)代，通過(guò) HTTPS 進(jìn)行安全訪問(wèn)已經(jīng)是大眾的共識(shí)。為了提高開(kāi)發(fā)人員和 IT 管理員的安全意識(shí)，并促使其全面使用 HTTPS 技術(shù)，我們付出了很多的努力。但是，應(yīng)該如何去實(shí)現(xiàn)呢?

Let’s Encrypt 項(xiàng)目致力于將 HTTPS 技術(shù)通過(guò)免費(fèi)且簡(jiǎn)便的方式引入萬(wàn)維網(wǎng)(World Wide Web)。

在此文中，我們將包含以下內(nèi)容：

• 簽發(fā)證書(shū)并在 Spring Boot 中部署

1.使用 Let’s Encrypt 生成證書(shū)

2.通過(guò) PEM 證書(shū)制作 PCKS#12 證書(shū)

3.在 Spring Boot 應(yīng)用中部署證書(shū)

• 更新過(guò)期或者即將過(guò)期的證書(shū)

1.證書(shū)更新流程

2.Spring Boot 的準(zhǔn)備工作

如何使用 Let’s Encrypt 生成證書(shū)

Let's Encrypt 為一些中間件(例如 Apache 和 Nginx)提供了幾個(gè)插件。在本節(jié)中，工作環(huán)境是(帶有嵌入式 Jetty 或 Tomcat 的)Spring Boot 應(yīng)用程序， 我們只需要生成證書(shū)并部署在應(yīng)用程序中。

如果你的服務(wù)器(或云服務(wù)商)有使用防火墻或其他安全機(jī)制，則需要開(kāi)放 80 和 443 端口。

80 端口需要開(kāi)放并自由使用，因?yàn)?Let’s Encrypt 需要通過(guò)自動(dòng)化證書(shū)管理環(huán)境(即 ACME 協(xié)議)在后臺(tái)運(yùn)行一個(gè)小型 HTTP 服務(wù)來(lái)證明你擁有此域名地址的控制權(quán)。

• 你需要花費(fèi)幾分鐘時(shí)間在域名地址指向的服務(wù)器上獲取 Let’s Encrypt 源代碼。

$ git clone https://github.com/certbot/certbot 
$ cd certbot
$ ./certbot-auto --help

備注: 需要預(yù)先安裝 Python(2.7.8 或以上)。

• 在終端中執(zhí)行以下命令，Let’s Encrypt 將會(huì)自動(dòng)生成證書(shū)和私鑰。

$ ./certbot-auto certonly -a standalone \
     -d seeld.eu -d www.seeld.eu

生成的證書(shū)保存在 /etc/letsencrypt/live/seeld.eu。

備注:‘certonly’代表此命令不附帶任何特殊插件(例如 Apache 或 Nginx)。‘standalone’代表 Let’s Encrypt 將使用 80 端口自動(dòng)創(chuàng)建一個(gè)小型 Web 服務(wù)，以證明你擁有此域名地址的控制權(quán)。

如何通過(guò) PEM 證書(shū)制作 PKCS12 證書(shū)

通過(guò)兩個(gè)步驟就能生成證書(shū)和私鑰，這足以證明 Let’s Encrypt 簡(jiǎn)單易用。Let’s Encrypt 生成的證書(shū)是 PEM 格式，而 Spring Boot 并不支持 PEM 格式的證書(shū)。Spring Boot 支持 PKCS12 格式，因此我們需要使用 OpenSSL 工具，將 PEM 格式的證書(shū)和私鑰轉(zhuǎn)換為 PKCS12 格式。

以下操作可以將 PEM 證書(shū)轉(zhuǎn)換為 PKCS12 證書(shū)：

1.將目錄路徑切換至 /etc/letsencrypt/live/seeld.eu。

2.在終端中執(zhí)行以下命令以通過(guò) OpenSSL 工具將證書(shū)和私鑰轉(zhuǎn)換為 PKCS12 格式。

server.port: 8443
security.require-ssl=true
server.ssl.key-store:/etc/letsencrypt/live/seeld.eu/keystore.p12
server.ssl.key-store-password: <your-password>
server.ssl.keyStoreType: PKCS12
server.ssl.keyAlias: tomcat

文件名為‘keystore.p12’的 PKCS12 格式證書(shū)現(xiàn)在就被保存在‘/etc/letsencrypt/live/seeld.eu’目錄。

在 Spring Boot 應(yīng)用中部署證書(shū)

我們將要在 Spring Boot 應(yīng)用中配置證書(shū)和私鑰，并為全面部署 HTTPS 做好準(zhǔn)備，以提升 Spring Boot 應(yīng)用的安全性。此時(shí)，我們已經(jīng)生成了證書(shū)和私鑰，并將其轉(zhuǎn)換為 PKCS12 格式，以便部署在 Spring 應(yīng)用中。

1.打開(kāi)‘a(chǎn)pplication.properties’文件

2.將下面的配置內(nèi)容添加至‘a(chǎn)pplication.properties’文件中

server.port: 8443
security.require-ssl=true
server.ssl.key-store:/etc/letsencrypt/live/seeld.eu/keystore.p12
server.ssl.key-store-password: <your-password>
server.ssl.keyStoreType: PKCS12
server.ssl.keyAlias: tomcat

備注：‘require-ssl’代表服務(wù)器僅響應(yīng) HTTPS 請(qǐng)求。

如果你訪問(wèn) https://seeld.eu:8443，就會(huì)發(fā)現(xiàn) HTTPS 服務(wù)已經(jīng)部署成功并運(yùn)行正常。為了使項(xiàng)目更加完善，我們通過(guò)額外配置，使 HTTPS 可以在端口 80 和 443 上生效?，F(xiàn)在，你可以通過(guò) https://seeld.eu 來(lái)訪問(wèn)。

證書(shū)更新

Let’s Encrypt 的證書(shū)有效期只有 90 天。有人可能會(huì)說(shuō)，相較于其他證書(shū)提供商簽發(fā)的證書(shū)有效期，3 個(gè)月太短了。Let’s Encrypt 這個(gè)決定有兩個(gè)目的：降低密鑰泄露或錯(cuò)誤發(fā)布造成的損害，以及鼓勵(lì)自動(dòng)化?，F(xiàn)在，讓我們開(kāi)始配置證書(shū)自動(dòng)更新。

• 打開(kāi) Let's Encrypt 客戶端(certbot)所在目錄

備注：證書(shū)和密鑰存放在同一臺(tái)服務(wù)器上。(請(qǐng)閱讀所有章節(jié)的備注，例如安裝 Python，開(kāi)放 80 端口等)

• 執(zhí)行下面的命令以開(kāi)啟自動(dòng)更新功能

$ sudo ./certbot-auto renew

該命令將檢查此服務(wù)器上(由 Let’s Encrypt 管理)證書(shū)的過(guò)期時(shí)間并在過(guò)期或即將過(guò)期時(shí)自動(dòng)更新證書(shū)。

輕松獲取新的證書(shū)

正如前文所述：Spring Boot 并不支持(由 Let’s Encrypt 生成的)PEM 格式的證書(shū)。因此，我們需要通過(guò) OpenSSL 將證書(shū)轉(zhuǎn)換為 Spring Boot 支持的 PKCS12 格式的證書(shū)。

Spring Boot 準(zhǔn)備工作

讓我們創(chuàng)建 PKCS#12 密鑰。

1.將目錄路徑切換至 /etc/letsencrypt/live/seeld.eu。

2.在終端中執(zhí)行以下命令以通過(guò) OpenSSL 工具將證書(shū)和私鑰轉(zhuǎn)換為 PKCS12 格式。

$ openssl pkcs12 -export -in fullchain.pem \ 
                 -inkey privkey.pem \ 
                 -out keystore.p12 
                 -name tomcat \
                 -CAfile chain.pem \
                 -caname root

文件名為‘keystore.p12’的 PKCS12 格式證書(shū)現(xiàn)在就被保存在‘/etc/letsencrypt/live/seeld.eu’目錄。

等等!

假設(shè)服務(wù)器運(yùn)行的是 Spring Boot 應(yīng)用，這意味著工作還沒(méi)有全部完成。過(guò)期或即將過(guò)期的‘keystore.p12’證書(shū)依然駐留在內(nèi)存中，因此我們需要重啟 Spring Boot 應(yīng)用才能使上述證書(shū)更新工作生效。

簡(jiǎn)單重啟 Spring Boot 應(yīng)用并不是萬(wàn)無(wú)一失的。或許還有其他方法可以在不重啟 Spring Boot 應(yīng)用的情況下對(duì)證書(shū)進(jìn)行更新，但這并不在本文的討論范圍內(nèi)。

總結(jié)

在本文中，我們學(xué)習(xí)了如何簽發(fā)、更新 Let’s Encrypt 證書(shū)，特別是將其部署在 Spring Boot 應(yīng)用中。如果你確實(shí)沒(méi)有其他配置可以調(diào)整，那么不用 5 分鐘就可以完成上述所有操作。

由此看來(lái)，Let’s Encrypt 的證書(shū)簽發(fā)和續(xù)訂快速、簡(jiǎn)單、成本低廉。無(wú)論需要管理多少 Web 服務(wù)，盡快使用 HTTPS 不失為上佳之選。

譯者介紹

仇凱，51CTO 社區(qū)編輯，目前就職于北京宅急送快運(yùn)股份有限公司，職位為信息安全工程師。主要負(fù)責(zé)公司信息安全規(guī)劃和建設(shè)(等保，ISO27001)，日常主要工作內(nèi)容為安全方案制定和落地、內(nèi)部安全審計(jì)和風(fēng)險(xiǎn)評(píng)估以及管理。