海外云服务器 40个地区可选            亚太云服务器 香港 日本 韩国

云虚拟主机 个人和企业网站的理想选择            俄罗斯电商外贸虚拟主机 赠送SSL证书

美国云虚拟主机 助力出海企业低成本上云             WAF网站防火墙 为您的业务网站保驾护航

在现代Web应用开发中，保障数据传输的安全性已成为不可或缺的一环，随着用户对隐私保护意识的不断提升，以及主流浏览器（如Chrome、Firefox）对HTTP站点明确标注“不安全”警告，越来越多的企业和开发者开始将原有的HTTP服务升级为HTTPS协议,以提升系统的可信度与安全性。

作为当前最流行的Java后端开发框架之一，Spring Boot 提供了简洁高效的机制来集成 SSL（Secure Sockets Layer）证书，从而轻松启用 HTTPS 加密通信，本文将系统地介绍如何在 Spring Boot 项目中配置 SSL 证书，并实现从 HTTP 到 HTTPS 的安全过渡,涵盖开发测试与生产部署的最佳实践。

什么是SSL证书？

SSL（Secure Sockets Layer）证书是一种数字凭证，用于在客户端（如浏览器）与服务器之间建立加密通道，确保数据在传输过程中不会被窃取、篡改或伪造，当用户访问一个配置了SSL证书的网站时，通信将通过 HTTPS 协议进行，所有敏感信息（如登录凭据、支付数据等）都会被加密传输。

SSL证书通常由受信任的证书颁发机构（Certificate Authority, 简称 CA）签发，Let's Encrypt、DigiCert、Sectigo 等，这些权威机构会对申请者的身份进行验证，确保证书的真实性和可信性，对于开发和测试环境，也可以使用自签名证书——虽然不具备公共信任基础，但足以模拟加密过程,便于本地调试。

值得注意的是，TLS（Transport Layer Security）是SSL的继任者，目前广泛使用的实际是 TLS 协议，但由于历史习惯，“SSL证书”这一术语仍被普遍沿用。

为什么要在Spring Boot中启用HTTPS？

默认情况下，Spring Boot 使用嵌入式 Tomcat 启动 Web 应用，监听的是 HTTP 协议的 8080 端口，在涉及用户认证、交易支付或个人信息处理的应用场景中,明文传输存在极大的安全隐患。

启用HTTPS并配置SSL证书具有以下重要意义：

• 防止中间人攻击（MITM）：加密通信使得攻击者难以截获或篡改请求内容；
• 保护敏感数据：密码、Token、身份证号等关键信息不再以明文形式暴露；
• 增强用户信任：浏览器地址栏显示绿色锁形图标,提升用户体验与品牌可信度；
• 优化搜索引擎排名：Google 等主流搜索引擎优先索引 HTTPS 网站，有助于提升 SEO 效果；
• 满足合规要求：符合 GDPR、网络安全法等相关法律法规的数据保护标准。

在正式上线前，为Spring Boot应用配置SSL证书是一项必要且重要的安全措施。

配置前的准备工作

在开始配置之前,请确认已完成以下准备工作：

1. ✅ SSL证书文件
   • 若已有正式证书，需准备公钥证书（.crt 或 .pem 格式）及对应的私钥文件（.key）。
2. ✅ Java密钥库文件（Keystore）

   Java平台推荐使用 JKS（Java KeyStore）或 PKCS#12 格式的密钥库存储证书和私钥，若原始证书为 PEM 格式,可通过工具转换。

3. ✅ Spring Boot项目环境
   • 确保项目已引入 spring-boot-starter-web 模块,支持Web功能。
4. ✅ 必要的命令行工具
   • 安装 JDK 并确保 keytool 可用；如有需要，也可安装 OpenSSL 工具集。

生成自签名证书（适用于开发测试）

在开发或测试阶段，我们可以使用 JDK 自带的 keytool 工具快速生成一个自签名证书,无需向CA申请。

执行以下命令创建一个有效期为10年（3650天）、采用RSA 2048位加密算法的PKCS#12格式密钥库：

keytool -genkeypair \
  -alias tomcat \
  -storetype PKCS12 \
  -keyalg RSA \
  -keysize 2048 \
  -keystore keystore.p12 \
  -validity 3650 \
  -dname "CN=localhost, OU=Development, O=MyCompany, L=Beijing, ST=Beijing, C=CN" \
  -storepass changeit \
  -keypass changei

⚠️ 注意：-storepass 和 -keypass 建议设置为相同值，避免运行时报错，常见默认密码为 changeit 或 password。

执行成功后，将在当前目录生成 keystore.p12 文件，该文件包含了公钥证书和私钥，后续将在Spring Boot中引用。

配置 application.yml 启用HTTPS

将生成的 keystore.p12 文件复制到项目的资源目录下：

src/main/resources/keystore.p12

然后在 application.yml 中添加如下SSL配置：

server:
  port: 8443
  ssl:
    enabled: true
    key-store: classpath:keystore.p12
    key-store-password: changeit
    key-store-type: PKCS12
    key-alias: tomcat
    protocol: TLS

参数说明：

保存配置后启动应用，此时服务将仅通过 HTTPS 在 8443 端口提供访问。

强制HTTP请求重定向至HTTPS（推荐）

尽管启用了HTTPS，用户仍可能通过HTTP方式访问（如输入 http://localhost:8080），为了统一入口并加强安全性,建议强制所有HTTP请求自动跳转到HTTPS。

可以通过自定义 TomcatServletWebServerFactory 实现此功能：

@Configuration
public class HttpsRedirectConfig {
    @Bean
    public TomcatServletWebServerFactory servletContainer() {
        TomcatServletWebServerFactory factory = new TomcatServletWebServerFactory() {
            @Override
            protected void postProcessContext(Context context) {
                SecurityConstraint securityConstraint = new SecurityConstraint();
                securityConstraint.setUserConstraint("CONFIDENTIAL"); // 要求机密通信
                SecurityCollection collection = new SecurityCollection();
                collection.addPattern("/*"); // 应用于所有路径
                securityConstraint.addCollection(collection);
                context.addConstraint(securityConstraint);
            }
        };
        return factory;
    }
}

该配置利用了Tomcat的安全约束机制，当请求匹配 模式时，会强制使用“CONFIDENTIAL”级别通信，即必须走HTTPS协议，如果收到HTTP请求，Tomcat会自动返回 302 重定向到对应的HTTPS地址。

💡 提示：若同时希望保留HTTP端口并监听另一个端口（如8080），可在工厂中进一步配置 addAdditionalTomcatConnectors() 方法实现双端口共存。

验证SSL配置是否生效

启动Spring Boot应用后,打开浏览器访问：

https://localhost:8443

观察以下几点以判断配置是否成功：

• 浏览器地址栏显示 🔒 安全锁图标；正常加载,无连接拒绝错误；
• 查看证书详情，确认颁发者为“你自己”（自签名）或可信CA；
• 尝试访问 http://localhost:8080，应自动跳转至 https://localhost:8443。

⚠️ 若使用自签名证书，浏览器可能会提示“您的连接不是私密连接”，这是正常现象，点击“高级 → 继续前往”即可继续访问（仅限开发环境使用）。

生产环境中的最佳实践

虽然上述方案适用于本地开发,但在生产环境中还需遵循更高标准的安全策略：

✅ 使用可信CA签发的证书

推荐使用 Let's Encrypt（免费）、DigiCert、阿里云、腾讯云等提供的正式SSL证书,消除用户信任警告。

✅ 结合反向代理处理SSL卸载

在高并发场景下，建议使用 Nginx 或 Apache