spring boot 3.x 必须用 keytool 生成 pkcs12 格式证书并配置 protocol、enabled-protocols 等参数,jks 已弃用;http 跳转 https 需 redirectport 与 server.port 严格一致;生产环境证书和密码不得硬编码或打包进 jar。
证书生成:用 keytool 生成 PKCS12 格式最稳妥
Spring Boot 3.x 默认只支持 PKCS12(.p12/.pfx),JKS 已被弃用;硬配 server.ssl.key-store-type=JKS 在新版本会直接启动失败,报错类似 java.security.KeyStoreException: JKS not available。
所以别再照搬老教程里 keytool -genkey -storetype JKS 的命令。正确做法是:
- 进
%JAVA_HOME%\bin目录,执行:keytool -genkey -alias springboot -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore src/main/resources/keystore.p12 -validity 3650
- 过程中所有提示都可填占位符(如
Unknown),但密钥库口令和密钥口令建议设为相同值,避免后续配置多写一个server.ssl.key-password - 生成的
keystore.p12放进src/main/resources,它会自动成为 classpath 根路径,配置时用classpath:keystore.p12即可
application.yml 配置:必须显式指定 protocol 和 type
仅靠 server.ssl.key-store 和 server.ssl.key-store-password 不够,Spring Boot 启动时可能默认用 TLSv1,而现代浏览器已禁用该协议,导致 HTTPS 打不开或握手失败。
完整且安全的最小配置如下:
server:
port: 8443
ssl:
key-store: classpath:keystore.p12
key-store-password: changeit
key-store-type: PKCS12
key-alias: springboot
protocol: TLS
enabled-protocols: TLSv1.2,TLSv1.3
ciphers: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
注意点:
-
key-alias必须和keytool -alias参数一致,否则找不到私钥,报错Cannot recover key -
enabled-protocols和ciphers不是可选项——不加的话,某些 JDK 版本(如 OpenJDK 17+)默认启用弱算法,Chrome/Firefox 会拒绝连接 - 密码明文写在配置里仅限开发环境;生产务必改用环境变量:
SERVER_SSL_KEY_STORE_PASSWORD=${SSL_KEYSTORE_PASSWORD}
HTTP 自动跳转 HTTPS:redirectPort 必须匹配 server.port
Tomcat 内嵌容器的重定向机制依赖 redirectPort 值严格等于 HTTPS 实际监听端口,否则 HTTP 请求会 302 到错误端口,页面空白或报 ERR_CONNECTION_REFUSED。
常见错误配置:
- application.yml 中
server.port: 443,但redirectConnector.setRedirectPort(8443)→ 跳转到不存在的端口 - 本地开发用
server.port: 8443,却把redirectPort设成443→ 无 root 权限无法绑定 443,服务起不来
推荐写法(适配开发与生产):
@Bean
public TomcatServletWebServerFactory servletContainer() {
TomcatServletWebServerFactory factory = new TomcatServletWebServerFactory();
factory.addAdditionalTomcatConnectors(httpConnector());
return factory;
}
private Connector httpConnector() {
Connector connector = new Connector("org.apache.coyote.http11.Http11NioProtocol");
connector.setScheme("http");
connector.setPort(8080);
connector.setSecure(false);
connector.setRedirectPort(8443); // 必须和 server.port 一致
return connector;
}
生产部署避坑:证书别放 resources,密码别硬编码
把 keystore.p12 放进 src/main/resources,等于把它打包进 JAR —— 任何人反编译你的 JAR 就能拿到私钥,等同于把 HTTPS 的大门钥匙贴在门上。
真实部署应做到:
- 证书文件存放在服务器受控目录,如
/etc/ssl/myapp/keystore.p12,配置中用file:/etc/ssl/myapp/keystore.p12 - 密码通过系统环境变量注入:
export SSL_KEYSTORE_PASSWORD=xxx,然后配置项写server.ssl.key-store-password: ${SSL_KEYSTORE_PASSWORD} - 若用 Docker,用
--secret或挂载tmpfs卷传入证书和密码,绝不在镜像层保留敏感文件
另外,云厂商下载的 JKS 证书包,别直接解压就用。先用 keytool -importkeystore -srckeystore server.jks -destkeystore server.p12 -deststoretype PKCS12 转一次格式,否则 Spring Boot 2.7+ 以上版本会加载失败。
