文章共 591字,閱讀大約需要 2分鐘 !
概 述
在我的前文
《Eureka Server 開啟Spring Security Basic認證》中已經給 Eureka Server 開啟了最基本的鑒權措施,本文則讓 HTTPS加持于 Eureka Server,讓安全措施來的更徹底一點。
注: 本文首發于 My Personal Blog:CodeSheep·程式羊 ,歡迎光臨 小站
證書準備
這裡使用 JDK自帶的 keytools 來建立證書
- Server 端證書生成
keytool -genkeypair -alias server -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore codesheepserver.p12 -validity 3800 過程如下:
- Client 端證書生成
keytool -genkeypair -alias client -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore codesheepclient.p12 -validity 3800 過程類似,就不再截圖了
- 分别導出 server端和 client端的 p12證書
keytool -export -alias server -file codesheepserver.crt --keystore codesheepserver.p12 會要求你輸入密碼 keytool -export -alias client -file codesheepclient.crt --keystore codesheepclient.p12 導出的證書在此:
- 配置 Client端信任 Server端的證書
keytool -import -alias server -file codesheepserver.crt -keystore codesheepclient.p12 - 配置 Server端信任 Client端的證書
keytool -import -alias client -file codesheepclient.crt -keystore codesheepserver.p12 過程與上面類似,也不截圖展示了
證書檔案準備妥當之後,接下來進行項目代碼級别的配置
Eureka Server SSL配置
我們需要在 Eureka Server的 Spring Boot項目中的
application.yml
配置檔案裡将上文中生成的證書配到項目中去,即下面這段配置中與
server.ssl
相關的部分:
server:
port: 1111
ssl:
enabled: true
key-store: classpath:codesheepserver.p12
key-store-password: codesheep.cn
key-store-type: PKCS12
key-alias: server
eureka:
instance:
hostname: localhost
securePort: 1111
securePortEnabled: true
nonSecurePortEnabled: false
client:
registerWithEureka: false
fetchRegistry: false Eureka Client SSL配置
類似地,我們也在 Eureka Client的 Spring Boot項目中的
application.yml
配置檔案裡将上文中生成的證書配到項目中去:
server:
port: 1112
spring:
application:
name: eureka-client
eureka:
client:
securePortEnabled: true
serviceUrl:
defaultZone: https://localhost:1111/eureka/
ssl:
key-store: codesheepclient.p12
key-store-password: codesheep.cn 但注意此處的
ssl.key-store
和
ssl.key-store-password
隻是我們自定義的屬性,我們需要結合自己編寫的 ssl配置類
EurekaClientHttpsCfg
來進行使用,代碼如下:
@Configuration
public class EurekaClientHttpsCfg {
@Value("${ssl.key-store}")
String keyStoreFileName;
@Value("${ssl.key-store-password}")
String keyStorePassword;
@Bean
public DiscoveryClient.DiscoveryClientOptionalArgs discoveryClientOptionalArgs() throws CertificateException, NoSuchAlgorithmException, KeyStoreException, IOException, KeyManagementException {
EurekaJerseyClientImpl.EurekaJerseyClientBuilder builder = new EurekaJerseyClientImpl.EurekaJerseyClientBuilder();
builder.withClientName("eureka-client");
SSLContext sslContext = new SSLContextBuilder()
.loadTrustMaterial(
this.getClass().getClassLoader().getResource(keyStoreFileName),keyStorePassword.toCharArray()
)
.build();
builder.withCustomSSL(sslContext);
builder.withMaxTotalConnections(10);
builder.withMaxConnectionsPerHost(10);
DiscoveryClient.DiscoveryClientOptionalArgs args = new DiscoveryClient.DiscoveryClientOptionalArgs();
args.setEurekaJerseyClient(builder.build());
return args;
}
} 這段代碼的主要意圖就是通過設定一個 SSLContext用于 Eureka Client通路 Eureka Server。
實驗驗證
- 啟動 Eureka Server,由于其開啟了 https通路,是以浏覽器以非 https方式通路時就不通了
浏覽器必須以 https方式通路注冊中心方可:
- 啟動 Eureka Client後,由于其已經加入了對 https的配置,是以可以驗證通過并且注冊到 Eureka Server注冊中心:
如此一番實踐下來,微服務注冊中心的安全性就更進了一步。
後 記
由于能力有限,若有錯誤或者不當之處,還請大家批評指正,一起學習交流!
- My Personal Blog: CodeSheep 程式羊
- 我的半年技術部落格之路
![Java小案例——随機數猜測随機數猜測[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)