为Spring后端使用通配符ssl证书

Question

我已经从我的主机(Hoster X)为我的域获得了一个通配符SSL证书，例如domain.com。

现在，我在服务器A上运行了Spring后端(不是托管在Hoster X，IP: 1.1.1.1，URL: api.domain.com)，我的前端运行在另一个服务器B上(托管在Hoster X，IP:2.2.2.2，URL app.domain.com)。

将api.domain.com重定向到IP1.1.1.1是通过Hoster X的DNS配置中的一个资源记录来设置的，因为domain.com在这里注册。

​

​

在我的Spring后端上安装证书的一般方法是什么，以便保护我的前端和后端之间的通信？是否必须下载通配符证书才能将其安装到后端密钥存储库中？我可以告诉您的是，我只能在驻留在Hoster X服务器上的域上的hosters菜单中配置SSL证书。

Answer 1

在后端服务器上，将私钥文件、证书文件和CA文件与openssl合并到pkcs12密钥库中，并执行以下命令：

openssl pkcs12 -export -in <certfile> -inkey <keyfile> -out <keystorefile> -name tomcat -CAfile <cacertfile> -caname root

提示您输入密钥存储密码。现在，将生成的keystore文件(扩展名'p12')复制到Spring应用程序的资源目录中。

现在，在application.yml中设置Spring配置：

server:
    port: 8443

# Spring SSL configuration
    ssl:
        enabled: true
        key-store: classpath:keystore.p12
        key-store-password: "<KeystorePassword>"
        keyStoreType: PKCS12
        keyAlias: tomcat

或者，将keystore.p12复制到后端服务器的某个位置，并指向具有绝对路径的位置：

server:
    ssl:
        key-store: /path/to/keystore.p12

重要的是在前端机器上的DNS设置中创建一个A记录，这样所有对后端的前端请求都可以通过对域的调用而不是对IP的调用，因为通配符证书只对域有效。