Hinzufügen .crt zu Spring Boot um SSL zu aktivieren

Ich habe das noch nie getan bevor, und die meisten tutorials wird nicht erwähnt, wie befassen sich mit .crt-Dateien.

Kaufte ich ein SSL-Zertifikat von GoDaddy, und ausgewählte Tomcat als Plattform, wenn Sie es herunterladen. Die zip-Datei enthält 3 Dateien:

dea08asdjakjawl.crt  
gd_bundle-g1-g1.crt  
gdig.crt.pem

Ich eine Spring-Boot-Anwendung (auf port 80 mit einem eingebetteten Tomcat) auf ein CentOS7-server. (Server läuft auf Digital Ocean, es hat eine zugewiesene Domäne, und arbeitet mit einfachen http)

Möchte ich es ausschalten https://something.com

All die tutorials empfehlen, die muss ich haben .jks oder eine .p12-Datei, aber ich war nicht in der Lage zu konvertieren .crt-Dateien auf. Neben ich bin mir nicht sicher, welche der 2 .crt-Datei ist die, die ich sollte zu konvertieren .jks/.p12.

Habe ich dieses auf meine Bewerbung.yaml, aber hat nicht geholfen:

server:    
  port: 443  
  ssl:  
    enabled: true  
    key-alias: server  
    key-store: "cert.crt"  
    key-store-password: "***"

Wie kann ich meinen Lauf-Spring-Boot-Projekt zu akzeptieren, HTTPS-Abfragen mit diesem Zertifikat?

InformationsquelleAutor Macskasztorik | 2017-10-10

3

Müssen Sie einen Schlüsselspeicher zu erstellen und eine trusstore(oder verwenden Sie die Standard-trusstore zur Verfügung gestellt von java). keystore enthält Ihren privaten Schlüssel und das Serverzertifikat. truststore enthalten wird Ihr ca-Zertifikat.
um einen p12-keystore-
```
openssl pkcs12 -export -in [path/to/certificate] -inkey [path/to/privatekey] -certfile [path/to/ca/certificate ] -out keystore.p12
```
geben Sie ein Passwort für den keystore. konfigurieren Sie diesen keystore in Ihrer Anwendung.yaml.

Trust-store-Eintrag, wenn in der java-Standard-Vertrauen-speichern, fügen Sie dann Ihre ca-Zertifikat auf ...jre/lib/security/cacerts
```
keytool -import -trustcacerts -alias root -file ca.crt -keystore cacerts
```
oder Sie erstellen trusstore dann konfigurieren Sie diese truststore in Ihrer Anwendung.yaml

alle keytool-Befehle, die Sie leicht finden können, auf dem internet zu konvertieren/erstellen/importieren/exportieren/Liste...

Zur Verfügung gestellt 3 Dateien, die Sie überprüfen können, welche welche ist-
1. sollten Sie Ihr Zertifikat
2. sollte der Zertifizierungsstellen-Zertifikatkette
- Ist mein privater Schlüssel ist (was gebraucht wird für den keystore) die .pem-Datei? Von " konfigurieren Sie diesen keystore in Ihrer Anwendung.yaml" meinst du, ich sollte die exportiert werden .p12-Datei, und definieren Sie die Lage in den .yaml-Datei anstatt der .crt-Datei? Dank
- Es kann sein, pem-oder pkcs-format, die Sie brauchen, um zu überprüfen, welche ist Ihr privater Schlüssel. Wenn Sie geschickt csr zu GoDaddy für die Erstellung Zertifikat dann müssen Sie erstellten privaten Schlüssel. Wenn godaddy ist die Erstellung Ihrer Schlüssel auch dann müssen Sie Ihnen zur Verfügung gestellt haben. pem-private key mit start -----BEGIN PRIVATE KEY-so können Sie öffnen die Datei im text-editor und überprüfen. Wenn Sie Dateien im format pkcs dann ist man entweder Lesen kann mit openssl-Befehl, oder konvertieren Sie Sie in pem mit openssl. Ja, p12 oder jks-keystore/trustore verwendet werden müssen, anstatt direkt crt-Datei
InformationsquelleAutor Mukesh
3

Also die richtige Vorgehensweise war die folgende:

Musste ich neu erstellen die CSR von Grund auf, mit einer Java-Key-Store statt.
```
keytool -genkey -alias mydomain -keyalg RSA -keystore KeyStore.jks -keysize 2048
```
Dann eine neue CSR:
```
keytool -certreq -alias mydomain -keystore KeyStore.jks -file mydomain.csr
```
Hatte, zu ärgern, zu der cert-Anbieter, um einen neuen zu generieren .cer-Datei. So schickten Sie mich zurück zu den erwähnten 2 .cer-Dateien, die "bundle" war der Mittelstufe .cer, die ich brauchte, um hinzuzufügen, wie dieser:
```
keytool -import -trustcacerts -alias intermediate -file intermediate.crt -keystore KeyStore.jks
```
Dann die eigentliche "langen Namen" .cer-Datei wie folgt:
```
keytool -import -trustcacerts -alias mydomain -file mydomain.crt -keystore KeyStore.jks
```
Dann ist das etwas, was konvertiert werden kann p12-so:
```
 keytool -importkeystore -srckeystore <MY_KEYSTORE.jks> -destkeystore <MY_FILE.p12> -srcstoretype JKS -deststoretype PKCS12 -deststorepass <PASSWORD_PKCS12> -srcalias <ALIAS_SRC> -destalias <ALIAS_DEST>
```
Schließlich die Anwendung.Eigenschaften, die extra Linien und wurde so etwas wie dieses:
```
server.port=443
server.ssl.enabled=true
security.require-ssl=true
server.ssl.key-store=keystore.p12
server.ssl.key-store-password=password
server.ssl.key-alias=domain
server.ssl.key-password=password
```
Und es wird schließlich arbeiten.
- Hi, ich bin die unten Ausnahme, wenn ich die Anwendung starten, wird java.lang.IllegalArgumentException: java.io.IOException: DerInputStream.getLength(): lengthTag=109, zu groß. Irgendwelche Vorschläge?
- Für 3rdd Schritt zu intermediate.crt ist es nicht die Erzeugung.
- Fehler :- keytool-Fehler: java.io.FileNotFoundException: Mittelstufe.crt (The system cannot find The file specified)
InformationsquelleAutor Macskasztorik
-2

Wenn mit Java, man generiert den privaten key und den CSR mit der keytool - Befehl mit Hilfe der -keystore parameter. Ich gebe zu, dass ich nicht weiß, ob und wie es möglich ist, Einlesen in einen Schlüsselspeicher (keytool ermöglicht das importieren von Zertifikaten), aber es könnte ein Weg sein.

In der worst-case-Szenario, re-generieren Sie die CSR mit Schlüssel, Werkzeug-und re-generieren Sie das SSL - /TLS-Zertifikate wieder - sollte es kommen keine extra Kosten.
- Ich kann importieren .crt-Dateien in ein frisches keystore, aber welche von den 2 Zertifikaten sollte ich dort importieren? Ist es ein problem, wenn die keystore-frisch und neu ist? Wie kann ich eine .p12-Datei?
InformationsquelleAutor Alessandro Santini

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.