参考：

https://blog.csdn.net/weixin_45355769/article/details/131727935

安装好openssl后，

创建 D:\certificate

CA文件夹下包含：

• index.txt OpenSSL在创建自签证书时会向该文件里写下索引
• database.txt OpenSSL会模拟数据库将一些敏感信息写在该文件里
• serial 创建该文件后，请编辑在第一行写下 01 (注意，没有后缀)
• newcerts 文件夹

注意： 这里提到的所有文件必须补齐，并且文件名不得更改 ！
再注：在windows，没有openssl.conf默认文件夹的位置，所以需要自己配置环境变量。

1.3 生成自己的CA证书
首先，我们需要把自己先扮演成CA机构，根据非对称加密的概念，我们需要有一对密钥，对应一把公钥和一把私钥，私钥放在自己身边，公钥提供出去，这边需要注意的是不能把他看成是服务端，CA机构是在客户端和服务端两者之间的一个存在，这边理解了后，我们先来创建一把私钥，可以使用openssl来生成。

1.3.1 生成 rootca.key私钥文件

openssl genrsa -out rootca.key 4096

1.3.2 根据私钥文件生成req请求文件，req请求文件用来生成证书的时候使用

如果是自己使用，搭建着玩或者自己私人的网站，就使用openssl生成就好了。

1.3.3 生成X.509格式的CA根证书rootca.crt

openssl x509 -req -in rootca.csr -out rootca.crt -signkey rootca.key -days 36500

这个证书就是CA机构会预先在客户端中的受信任列表中埋下的根证书，其中包括了证书的所有者信息和公钥信息，有了这些信息，客户端就能通过这些信息来验证服务端返回的CA证书的合法性了。

mmc

1.4 CA机构给自己颁发证书：生成服务端证书

1.4.1 生成服务器私钥文件server1.key

openssl genrsa -des3 -out server1.key 4096

输入 PEM pass

1.4.2 创建请求文件，然后输入信息。

openssl req -new -key server1.key -out server1.csr

1.4.3 使用根证书签发证书

openssl x509 -req -in server1.csr -CA rootca.crt -CAkey rootca.key -CAcreateserial -out server1.crt -days 36500

1.4.4 配置-extensions和-extfile扩展字段防止浏览器检查失败

ssl.conf

[req_ext]
subjectAltName = @alt_names

[alt_names]
IP.1    = 192.168.1.80
IP.2    = 127.0.0.1
IP.3    = 192.168.1.249
DNS.1   = localhost
#DNS.2   = localhost

配置片段是用于SSL证书配置中的一个部分，它通常用于定义subjectAltName扩展项的值。这部分内容通常会包含在一个 OpenSSL 配置文件中，用于生成或签署证书请求（CSR）或直接生成自签名证书。

在这个例子中：

• [req_ext] 部分指定了请求扩展（request extensions），这些是在证书请求中或最终证书里需要包含的额外属性。
• subjectAltName = @alt_names 指示使用名为 alt_names 的替代名称集。@ 符号是用来引用一个之前定义的命名段，在这个情况下就是下面定义的 [alt_names]。
• [alt_names] 部分列出了具体的替代名称条目，包括IP地址和DNS名称。这允许证书被用于多个不同的主机名或IP地址，提高了灵活性。

具体来说，你配置了以下替代名称：

• 三个IP地址：192.168.1.80、127.0.0.1、192.168.1.249
• 一个DNS名称：localhost
• 还有一个DNS.2被注释掉了，这意味着如果需要可以取消注释来包含另一个DNS名称。

此配置有助于确保生成的证书能够适用于列出的所有网络标识，无论是通过IP还是DNS访问。这对于那些需要在多个地址上验证服务身份的场景特别有用，比如配置HTTPS网站或安全的API服务等。

 

1. 带上配置文件，执行签发命令

openssl x509 -req -in server1.csr -CA rootca.crt -CAkey rootca.key -CAcreateserial -out server2.crt -days 36500 -extensions req_ext -extfile ssl.conf

创建完毕！

-----------------------------------------------------------------------------------------------

3. spring boot配置ssl证书实现https

2.1 配置证书

在java环境中用的证书形式有p12格式的，jks格式的，所以需要做转换，以p12为例

 openssl pkcs12 -export -clcerts -in server1.crt -inkey server1.key -out server2.p12

首先用命令查询一下别名：

keytool -list -v -keystore server2.p12

2.2 添加到springboot项目中

把server2.p12复制到spring boot的 src/main/resources/ 目录下，和application.yaml平级

2.3 配置文件

可以访问了。  

-----------------------------------------------------------------------------------------

将所有HTTP请求重定向到HTTPS

package com.zbIntel.integration.config;import org.apache.catalina.Context;
import org.apache.catalina.connector.Connector;
import org.apache.tomcat.util.descriptor.web.SecurityCollection;
import org.apache.tomcat.util.descriptor.web.SecurityConstraint;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.boot.web.embedded.tomcat.TomcatServletWebServerFactory;
import org.springframework.boot.web.servlet.server.ServletWebServerFactory;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;@Configuration
public class HttpsConfig {@Value("${server.port}")private int httpsPort;@Value("${http.port}")private int httpPort;@Beanpublic ServletWebServerFactory servletContainer() {TomcatServletWebServerFactory tomcat = new TomcatServletWebServerFactory() {@Overrideprotected void postProcessContext(Context context) {// 设置安全约束SecurityConstraint securityConstraint = new SecurityConstraint();securityConstraint.setUserConstraint("CONFIDENTIAL");// 创建安全集合SecurityCollection collection = new SecurityCollection();collection.addPattern("/*");// 添加安全集合到安全约束securityConstraint.addCollection(collection);// 添加安全约束到上下文context.addConstraint(securityConstraint);}};// 添加HTTP连接器tomcat.addAdditionalTomcatConnectors(initiateHttpConnector());return tomcat;}// 初始化HTTP连接器private Connector initiateHttpConnector() {Connector connector = new Connector("org.apache.coyote.http11.Http11NioProtocol");connector.setScheme("http");connector.setPort(httpPort);connector.setSecure(false);connector.setRedirectPort(httpsPort);return connector;}
}