1. 为什么你的SpringBoot项目需要HTTPS最近有个朋友的项目刚上线就被浏览器标记为不安全用户看到红色警告直接流失了一半。这年头要是网站还用HTTP协议就像裸奔上街一样危险。HTTPS早已不是电商、金融类网站的专利现在连个人博客都要标配SSL证书了。简单来说HTTPS就是在HTTP基础上套了层SSL/TLS加密外壳。数据在传输过程中会被加密防止被中间人窃听或篡改。我去年接手的一个物联网项目就吃过亏——设备用HTTP传输控制指令结果被恶意拦截后工厂流水线直接瘫痪。从那以后所有新项目我都强制要求HTTPS。对于SpringBoot开发者来说好消息是配置HTTPS比想象中简单很多。不需要修改业务代码只需准备好证书文件然后在application.yml里加几行配置就能完成协议升级。下面我会手把手带你走完全流程从证书生成到前后端联调连我踩过的坑都会提前预警。2. 证书准备三种方案任你选2.1 自签名证书开发测试用开发阶段最快捷的方式就是用JDK自带的keytool生成自签名证书。打开终端执行以下命令记得替换yourpasswordkeytool -genkeypair \ -alias springboot \ -keyalg RSA \ -keysize 2048 \ -validity 365 \ -keystore keystore.p12 \ -storetype PKCS12 \ -storepass yourpassword执行后会交互式询问一些信息其中要注意名字与姓氏这里要填域名本地开发就写localhost组织单位建议写项目英文名其他信息可以随意填写生成的keystore.p12文件就是包含公私钥的证书库。我建议把它放在resources目录下这样SpringBoot能自动加载。但要注意.gitignore里要排除这个文件毕竟密码和私钥都在里面。2.2 Lets Encrypt免费证书生产环境推荐线上环境千万别用自签名证书用户浏览器会疯狂报警。推荐使用Lets Encrypt的免费证书用certbot工具自动续期sudo certbot certonly --standalone -d yourdomain.com获取到的证书文件通常包括cert.pem服务器证书chain.pem中间证书privkey.pem私钥需要把它们合并成PKCS12格式供SpringBoot使用openssl pkcs12 -export \ -in cert.pem \ -inkey privkey.pem \ -name springboot \ -out keystore.p12 \ -CAfile chain.pem \ -passout pass:yourpassword2.3 商业证书企业级需求金融类项目可能需要OV或EV证书购买后CA会提供.crt和.key文件。转换方法与Lets Encrypt类似记得验证证书链是否完整。曾经有同事漏掉中间证书导致Android设备无法信任排查了半天才发现问题。3. SpringBoot配置详解3.1 基础配置把证书文件放到resources目录后application.yml配置如下server: ssl: enabled: true key-store: classpath:keystore.p12 key-store-password: yourpassword key-store-type: PKCS12 key-alias: springboot port: 8443几个容易踩的坑key-store-password必须和生成证书时设置的storepass一致如果证书有alias比如用了springboot必须显式指定默认HTTPS端口是8443而非443因为Linux普通用户无法绑定1024以下端口3.2 高级调优生产环境建议增加这些安全配置server: ssl: protocol: TLSv1.3 ciphers: TLS_AES_256_GCM_SHA384,TLS_CHACHA20_POLY1305_SHA256 enabled-protocols: TLSv1.3 trust-store: classpath:truststore.jks client-auth: need这组配置实现了强制使用TLS 1.3最安全版本仅启用前向安全的加密套件开启客户端证书验证适合内部系统3.3 HTTP自动跳转HTTPS想要彻底禁用HTTP在配置类里加个重定向规则Configuration public class HttpsConfig { Bean public ServletWebServerFactory servletContainer() { TomcatServletWebServerFactory tomcat new TomcatServletWebServerFactory() { Override protected void postProcessContext(Context context) { SecurityConstraint securityConstraint new SecurityConstraint(); securityConstraint.setUserConstraint(CONFIDENTIAL); SecurityCollection collection new SecurityCollection(); collection.addPattern(/*); securityConstraint.addCollection(collection); context.addConstraint(securityConstraint); } }; tomcat.addAdditionalTomcatConnectors(redirectConnector()); return tomcat; } private Connector redirectConnector() { Connector connector new Connector(org.apache.coyote.http11.Http11NioProtocol); connector.setScheme(http); connector.setPort(8080); connector.setSecure(false); connector.setRedirectPort(8443); return connector; } }这样所有HTTP请求都会自动跳转到HTTPS端口。上周刚用这招帮客户解决了微信小程序强制HTTPS的问题。4. 前端适配与联调技巧4.1 基础对接前端只需要把接口URL的http改成https即可但要注意// 错误示范硬编码端口 const apiUrl https://localhost:8080/api; // 正确做法根据环境变量切换 const apiUrl process.env.NODE_ENV production ? https://api.yourdomain.com : https://localhost:8443/api;4.2 跨域问题处理启用HTTPS后可能会遇到CORS问题SpringBoot可以这样配置Configuration public class CorsConfig implements WebMvcConfigurer { Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping(/**) .allowedOrigins(https://yourfrontend.com) .allowedMethods(*) .allowCredentials(true) .maxAge(3600); } }记得设置allowCredentials为true否则浏览器会拦截带Cookie的请求。去年有个项目因为这个配置漏了导致登录状态始终无法保持。4.3 WebSocket安全升级如果用了WebSocket需要把ws://改成wss://const socket new WebSocket(wss://localhost:8443/ws);后端配置也要相应调整Configuration EnableWebSocketMessageBroker public class WebSocketConfig implements WebSocketMessageBrokerConfigurer { Override public void registerStompEndpoints(StompEndpointRegistry registry) { registry.addEndpoint(/ws) .setAllowedOrigins(https://yourfrontend.com) .withSockJS(); } }5. 常见问题排查指南5.1 证书链不完整错误现象浏览器显示无效证书点击小锁图标看到该证书由未知机构颁发。解决方案用openssl检查证书链openssl s_client -connect yourdomain:443 -showcerts确保证书包包含完整的中间证书重新生成PKCS12文件时加上-chain选项5.2 密码错误错误日志IOException: keystore password was incorrect排查步骤确认yml中的key-store-password与生成证书时一致检查是否有特殊字符需要转义用keytool验证密码keytool -list -keystore keystore.p125.3 协议版本不匹配错误现象客户端无法建立连接日志显示Received fatal alert: protocol_version解决方法在server.ssl.enabled-protocols中添加TLSv1.2检查JDK版本建议JDK11禁用不安全的协议jdk.tls.disabledAlgorithmsSSLv3, TLSv1, TLSv1.1记得有一次客户用的旧版Android系统只支持TLS1.1我们不得不临时降级协议版本等用户端升级后才彻底关闭。