当前位置：首页 > article >正文

Springboot实现TLS双向认证

article 2026/4/30 7:22:33

keytool 是 Java 自带的工具，适合与 JKS 密钥库和信任库一起使用。

一、生成自签名CA证书

生成CA密钥对和自签名证书
```
keytool -genkeypair -alias my-ca -keyalg RSA -keysize 2048 -validity 3650 -keystore ca.jks -storepass changeit -keypass changeit -dname "CN=My CA, OU=My Organization, O=My Company, L=My City, ST=My State, C=US" -ext bc:c
```
- -alias my-ca：CA 证书的别名。
- -keystore ca.jks：生成的密钥库文件（包含CA密钥对和证书）。
- -storepass 和 -keypass：密钥库和密钥的密码。
- -dname：证书的 Distinguished Name（DN）。
- -ext bc:c：将证书标记为 CA 证书。

导出CA证书

keytool -exportcert -alias my-ca -keystore ca.jks -storepass changeit -file ca.crt

-file ca.crt：导出的 CA 证书文件。

二、使用CA签发服务器证书

生成服务器密钥对

keytool -genkeypair -alias server -keyalg RSA -keysize 2048 -validity 365 -keystore server.jks -storepass changeit -keypass changeit -dname "CN=server.example.com, OU=My Organization, O=My Company, L=My City, ST=My State, C=US"

-alias server：服务器证书的别名。
-keystore server.jks：生成的服务器密钥库文件。

生成证书签名请求（CSR）

keytool -certreq -alias server -keystore server.jks -storepass changeit -file server.csr

-file server.csr：生成的 CSR 文件。

使用CA签发服务器证书
```
keytool -gencert -alias my-ca -infile server.csr -outfile server.crt -keystore ca.jks -storepass changeit -validity 365 -ext SAN=dns:server.example.com
```
- -infile server.csr：输入的 CSR 文件。
- -outfile server.crt：签发的服务器证书文件。
- -ext SAN=dns:server.example.com：可选，添加 Subject Alternative Name（SAN）。

将CA证书和服务器证书导入服务器密钥库

keytool -importcert -alias my-ca -file ca.crt -keystore server.jks -storepass changeit -noprompt
keytool -importcert -alias server -file server.crt -keystore server.jks -storepass changeit

先导入 CA 证书，再导入签发的服务器证书。

三、使用CA签发客户端证书

生成客户端密钥对

keytool -genkeypair -alias client -keyalg RSA -keysize 2048 -validity 365 -keystore client.jks -storepass changeit -keypass changeit -dname "CN=client.example.com, OU=My Organization, O=My Company, L=My City, ST=My State, C=US"

-alias client：客户端证书的别名。
-keystore client.jks：生成的客户端密钥库文件。

生成证书签名请求（CSR）

keytool -certreq -alias client -keystore client.jks -storepass changeit -file client.csr

-file client.csr：生成的 CSR 文件。

使用CA签发客户端证书

keytool -gencert -alias my-ca -infile client.csr -outfile client.crt -keystore ca.jks -storepass changeit -validity 365

-infile client.csr：输入的 CSR 文件。
-outfile client.crt：签发的客户端证书文件。

将CA证书和客户端证书导入客户端密钥库

keytool -importcert -alias my-ca -file ca.crt -keystore client.jks -storepass changeit -noprompt
keytool -importcert -alias client -file client.crt -keystore client.jks -storepass changeit

先导入 CA 证书，再导入签发的客户端证书。

四、配置信任库

创建信任库并导入CA证书

keytool -importcert -alias my-ca -file ca.crt -keystore truststore.jks -storepass changeit -noprompt

-keystore truststore.jks：生成的信任库文件。

五、配置服务器和客户端

1. 服务器配置

在 Spring Boot 中配置：

server:ssl:key-store: classpath:server.jkskey-store-password: changeitkey-alias: servertrust-store: classpath:truststore.jkstrust-store-password: changeitclient-auth: need # 要求客户端提供证书

2. 客户端配置

在 Java 中配置：

SSLContext sslContext = SSLContextBuilder.create().loadKeyMaterial(Paths.get("client.jks"), "changeit".toCharArray(), "changeit".toCharArray()).loadTrustMaterial(Paths.get("truststore.jks"), "changeit".toCharArray()).build();
HttpClient client = HttpClients.custom().setSSLContext(sslContext).build();

六、总结

使用 keytool 可以完全替代 openssl，生成和管理自签名 CA 证书、服务器证书和客户端证书。
只需要将 CA 证书添加到信任库（truststore.jks），即可验证所有由该 CA 签发的证书。
这种方法适合 Java 生态系统，尤其是使用 JKS 密钥库和信任库的场景。

Springboot实现TLS双向认证

keytool 是 Java 自带的工具，适合与 JKS 密钥库和信任库一起使用。一、生成自签名CA证书生成CA密钥对和自签名证书 keytool -genkeypair -alias my-ca -keyalg RSA -keysize 2048 -validity 3650 -keystore ca.jks -storepass changeit -keypass changeit -dname …...

编程日记 2026/4/29 1:58:20

【DeepSeek】私有化本地部署图文（Win+Mac）

目录一、DeepSeek本地部署【Windows】 1、安装Ollama 2、配置环境变量 3、下载模型 4、使用示例 a、直接访问 b、chatbox网页访问二、DeepSeek本地部署【Mac】 1、安装Ollama 2、配置环境变量 3、下载模型 4、使用示例 5、删除已下载的模型三、DeepSeek其他 …...

编程日记 2026/4/29 8:43:50

深入了解 MySQL：从基础到高级特性

引言在当今数字化时代，数据的存储和管理至关重要。MySQL 作为一款广泛使用的开源关系型数据库管理系统（RDBMS），凭借其高性能、可靠性和易用性，成为众多开发者和企业的首选。本文将详细介绍 MySQL 的基础概念、安装启…...

编程日记 2026/2/5 10:48:49

SQL精度丢失：CAST(ce.fund / 100 AS DECIMAL(10, 2)) 得到 99999999.99

当你使用 CAST(ce.fund / 100 AS DECIMAL(10, 2)) 进行计算并转换时得到 99999999.99 这个结果，可能由以下几种原因导致： 1. DECIMAL 类型精度限制 DECIMAL(10, 2) 表示总共可以存储 10 位数字，其中小数部分占 2 位。这意味着整数部分最多只…...

编程日记 2026/2/9 19:33:33

深度学习里面的而优化函数 Adam，SGD，动量法，AdaGrad 等 | PyTorch 深度学习实战

前一篇文章，使用线性回归模型逼近目标模型 | PyTorch 深度学习实战本系列文章 GitHub Repo: https://github.com/hailiang-wang/pytorch-get-started 本篇文章内容来自于强化学习必修课：引领人工智能新时代【梗直哥瞿炜】深度学习里面的而优化函数 …...

编程日记 2026/4/29 12:45:01

基于Spring Boot的图书个性化推荐系统的设计与实现（LW+源码+讲解）

专注于大学生项目实战开发,讲解,毕业答疑辅导，欢迎高校老师/同行前辈交流合作✌。技术范围：SpringBoot、Vue、SSM、HLMT、小程序、Jsp、PHP、Nodejs、Python、爬虫、数据可视化、安卓app、大数据、物联网、机器学习等设计与开发。主要内容：…...

编程日记 2026/4/29 12:50:31

【实战】excel分页写入导出大文件

类 RequestMapping("export")ResponseBodypublic void export(HttpServletResponse response) {long start System.currentTimeMillis();QueryVo query new QueryVo();// response响应头setResponseHeader(response, "excel");ExcelWriter writer Excel…...

编程日记 2025/12/16 12:40:31

【论文阅读】Comment on the Security of “VOSA“

Comment on the Security of Verifiable and Oblivious Secure Aggregation for Privacy-Preserving Federated Learning -- 关于隐私保护联邦中可验证与遗忘的安全聚合的安全性论文来源摘要Introduction回顾 VOSA 方案对VOSA不可伪造性的攻击对于类型 I 的攻击对于类型 II 的…...

编程日记 2026/4/29 12:49:39

3.攻防世界 Confusion1（服务器模板注入SSTI）

题目描述如下进入题目页面如下图片是蟒蛇、大象？python、php？ 猜测需要代码审计点击 F12查看源码，有所提示flag 但是也没有其他信息了猜测本题存在SSTI（服务器模板注入）漏洞，为验证，构造…...

编程日记 2026/4/29 13:20:14

保姆级教程！SQL Server数据库的备份和还原

使用 SQL Server Management Studio (SSMS) 备份和还原数据库 1、数据库备份 Step 1 打开 SSMS 输入server name 以及用户名和密码连接到你的 SQL Server 实例 Step 2 展开Database,选中你要备份的数据库 Step 3 右击选中的数据库，点击Tasks --> Back …...

编程日记 2026/4/29 12:44:45

AlwaysOn 可用性组副本所在服务器以及该副本上数据库的各项状态信息

目录标题 AlwaysOn语句代码解释：1. sys.dm_hadr_database_replica_states 视图字段详细解释及官网链接官网链接字段解释 2. sys.availability_replicas 视图字段详细解释及官网链接官网链接字段解释查看视图的创建语句方法一：使用 SQL Server Managemen…...

编程日记 2026/4/29 12:50:04

Android telephony | supl PDN建立和定位信息获取

在Android系统中，SUPL（Secure User Plane Location）是一种用于辅助GPS定位的技术，它通过建立特定的APN（Access Point Name）连接来传输定位数据。以下介绍Android Telephony发起SUPL APN的PDN（P…...

编程日记 2025/5/26 12:53:04

ip地址是手机号地址还是手机地址

在数字化生活的浪潮中，IP地址、手机号和手机地址这三个概念如影随形，它们各自承载着网络世界的独特功能，却又因名称和功能的相似性而时常被混淆。尤其是“IP地址”这一术语，经常被错误地与手机号地址或手机地址划上等号。本文旨在…...

编程日记 2026/4/29 21:41:46

【react】react面试题

react面试题 1.对 React 的理解、特性 2.react18有哪些更新 3.JSX是什么 4.解释为什么浏览器不能读取jsx 6.ReactNative中，如何解决8081端口被占用而提示无法访问的问题？ 7. React 生命周期 8.react事件机制 9.react 组件传值 10.React改…...

编程日记 2025/5/27 6:27:39

zephyr devicetree

Syntax and structure — Zephyr Project Documentation Input files There are four types of devicetree input files: sources (.dts) includes (.dtsi) overlays (.overlay) bindings (.yaml) The devicetree files inside the zephyr directory look like this: …...

编程日记 2026/4/26 11:53:15

Springboot实现TLS双向认证

一、生成自签名CA证书

二、使用CA签发服务器证书

三、使用CA签发客户端证书

四、配置信任库

五、配置服务器和客户端

1. 服务器配置

2. 客户端配置

六、总结

相关文章：

Springboot实现TLS双向认证

【DeepSeek】私有化本地部署图文（Win+Mac）

深入了解 MySQL：从基础到高级特性

SQL精度丢失：CAST(ce.fund / 100 AS DECIMAL(10, 2)) 得到 99999999.99

深度学习里面的而优化函数 Adam，SGD，动量法，AdaGrad 等 | PyTorch 深度学习实战

基于Spring Boot的图书个性化推荐系统的设计与实现（LW+源码+讲解）

【实战】excel分页写入导出大文件

【论文阅读】Comment on the Security of “VOSA“

3.攻防世界 Confusion1（服务器模板注入SSTI）

保姆级教程！SQL Server数据库的备份和还原

AlwaysOn 可用性组副本所在服务器以及该副本上数据库的各项状态信息

Android telephony | supl PDN建立和定位信息获取

ip地址是手机号地址还是手机地址

【react】react面试题

zephyr devicetree

学习笔记：机器学习中的数学原理（一）

鼠标滚轮冒泡事件@wheel.stop

Unity DoTween使用文档

C语言中的共用体（Union）：嵌入式开发中的节省内存利器

Java 线程池：7参数配置、4拒绝策略与执行流程详解

代码随想录算法【Day38】

c# Lazy＜T＞单例模式 - 延迟初始化单例实例示例与详解

51单片机之冯·诺依曼结构

Safari常用快捷键

02.07 TCP服务器与客户端的搭建

【CubeMX+STM32】SD卡文件系统读写 FatFs+SDIO+DMA

51单片机之使用Keil uVision5创建工程以及使用stc-isp进行程序烧录步骤

aws(学习笔记第二十七课) 使用aws API Gateway+lambda体验REST API

React - jsx 语法

5 前端系统开发：Vue2、Vue3框架（上）：Vue入门式开发和Ajax技术