使用 SSL bundle 保护 Spring Boot 应用的安全

Jonathan · 2023 年6 月 8 日 01:27

本文介绍了Spring Boot 3.1中引入的 SSL bundle如何简化了SSL的配置，以及如何应用到 REST 客户端，数据服务连接和嵌入式服务器。

安全套接字层（SSL）和传输层安全（TLS）是确保分层或面向服务架构中系统间通信安全的关键组件。这种架构中的Spring Boot应用程序经常接受传入的网络连接或创建传出的连接，开发人员的任务是配置应用程序以在这种安全环境中工作。

如果你曾经使用过 Java security 和SSL API，你可能知道这不是一个特别有趣的任务。它往往涉及到多次到 stackoverflow.com 去复制和粘贴代码。有几个因素使使用SSL的工作变得很痛苦。

首先，你可能被提供信任（trust）材料，如证书和私钥，供生产使用。你可能需要为生产前的测试生成不同的信任材料（通常使用自签的证书授权）。这种信任材料通常以 JKS 或 PKCS #12 格式的Java keystore文件的形式出现，或者它们可能是PEM编码的文本文件。这些文件类型都需要不同的处理。

一旦你有了信任（trust）材料，你需要把它转化为可以传递给 Java connection API 的东西。事情在这里会变得很困难，因为 connection API可以用各种方式配置：

有些人希望你提供keystore和truststore java.security.KeyStore 实例。
有些人希望你提供 javax.net.ssl.KeyManager 和 javax.net.ssl.TrustManager 实例。
有些人希望你能提供一个 javax.net.ssl.SSLContext 实例。

SSL也是相当低级的，所以你经常需要剥开几层抽象，以获得需要使用 java.security 或 java.net.ssl 包的对象来配置的东西。例如，如果你想在Spring RestTemplate 上配置SSL，你需要深入到支持它的 ClientHttpRequestFactory。对于一个典型的Spring Boot应用来说，这可能是一个 HttpComponentsClientHttpRequestFactory、OkHttp3ClientHttpRequestFactory 或 SimpleClientHttpRequestFactory。每一个都提供不同的配置API。

配置连接以使用SSL或TLS对Spring Boot来说并不新鲜，但团队决定从整体上考虑目前支持的内容，并寻找机会来改进和扩大支持。我们希望你会发现，Spring Boot 3.1使SSL配置变得更加容易。

引入 SSL Bundle

Spring Boot 3.1引入了 SSL bundle 的概念，用于配置和消费定制的SSL信任材料，如 keystore、证书和私钥。一旦配置好，就可以使用配置属性或API将 bundle 应用于一个或多个连接。

配置 SSL Bundle

用于配置SSL信任材料的属性在 application.yaml 或 application.properties 文件中属于 spring.ssl.bundle 前缀。有两个顶层分组，以反映配置不同类型的信任材料所需的独特信息。

spring.ssl.bundle.jks 可以用来配置使用 Java keystore 文件的 bundle。
spring.sll.bundle.pem 可以用来配置使用PEM编码的文本文件的 bundle。

每种类型的一个或多个 bundle 可以被配置，每个配置的 bundle 都有一个用户提供的名字。这个名字在用 properties 应用 bundle 或用API检索 bundle 时使用。

下面的 application.yaml 文件示例显示了两个SSL bundle 的配置。第一个被命名为 server，定义了一个Java Keystore文件（PKCS #12格式），可用于保护一个嵌入式Web服务器。第二个被命名为 client，定义了一个带有PEM编码证书文件的trust store，可用于保护客户端与需要客户端认证的服务器的连接。

spring:
  ssl:
    bundle:
      jks:
        server:
          key:
            alias: "server"
          keystore:
            location: "classpath:server.p12"
            password: "secret"
            type: "PKCS12"
      pem:
        client:
          truststore:
            certificate: "classpath:client.crt"

参见 Spring Boot参考文档以及 JksSslBundleProperties 和 PemSslBundleProperties 类，以了解关于可用配置属性的更多细节。

使用自动配置的 SSL Bundle

Spring Boot使用 spring.ssl.bundle 属性来创建对象，提供对指定信任材料的访问。

如上所述，Java安全和SSL API提供了三个层次的抽象，以暴露从Java keystore或PEM文件读取的信任材料：

java.security.KeyStore 作为 keystores 和 truststore 的实例。
javax.net.ssl.KeyManager 和javax.net.ssl.TrustManager 实例。
javax.net.ssl.SSLContext 实例。

在最底层，你可能需要 truststore 和 keystore 对象来应用SSL到一个连接。这些对象可以使用 SslStoreBundle 接口访问，如图所示：

public interface SslStoreBundle {

	KeyStore getKeyStore();

	String getKeyStorePassword();

	KeyStore getTrustStore();

}

KeyManager 和 TrustManager 实例可以从 keystore 和 truststore 派生。这些可以使用 SslManagerBundle 接口来访问：

public interface SslManagerBundle {

	KeyManager[] getKeyManagers();

	KeyManagerFactory getKeyManagerFactory();

	TrustManager[] getTrustManagers();

	TrustManagerFactory getTrustManagerFactory();

}

最后，SSLContext 可以由 KeyManager 和 TrustManager 创建，并通过 createSslContext 工厂方法访问。

把所有这些放在一起，我们就有了一个 SslBundle 接口，可以访问各种不同的配置样式：

public interface SslBundle {

	SslStoreBundle getStores();

	SslManagerBundle getManagers();

	SSLContext createSslContext() {

}

SslBundle 中的全部方法列表见源代码。

配置的 SslBundles 的集合在 SslBundles Bean 中可用，可以自动注入到其他Spring Bean中：

public interface SslBundles {

	SslBundle getBundle(String bundleName) throws NoSuchSslBundleException;

}

一个使用 SslBundles 检索和应用 SSLContext 的例子可能是这样的：

@Component
public class MyComponent {

    public MyComponent(SslBundles sslBundles) {
        SslBundle sslBundle = sslBundles.getBundle("client");
        SSLContext sslContext = sslBundle.createSslContext();
        // do something with the created sslContext
    }

}

REST 客户端

在Spring Boot 3.1中启用的SSL功能的一个令人兴奋的新领域是REST客户端的配置。Spring Boot对定制 RestTemplate 或 WebClient 的支持现在包括应用 SSL bundle 的能力，以确保客户端和REST服务之间的连接。

RestTemplateBuilder 有一个新的 setSslBundle() 方法，接受从自动配置的 SslBundles 中检索的SSL bundle ，如本例所示：

@Service
public class MyService {

    private final RestTemplate restTemplate;

    public MyService(RestTemplateBuilder restTemplateBuilder, SslBundles sslBundles) {
        this.restTemplate = restTemplateBuilder.setSslBundle(sslBundles.getBundle("mybundle")).build();
    }

}

如本例所示，WebClientSsl 接口允许检索SSL bundle 并将其应用于 WebClient.Builder：

@Service
public class MyService {

    private final WebClient webClient;

    public MyService(WebClient.Builder webClientBuilder, WebClientSsl ssl) {
        this.webClient = webClientBuilder.baseUrl("https://example.org").apply(ssl.fromBundle("mybundle")).build();
    }

}

数据服务连接

Spring Boot使配置用于从应用程序连接到数据服务的客户端库变得容易。这些客户端库是使用三个级别的 Java security 和SSL API中的任何一个进行配置的API的好例子。

在3.1之前，Spring Boot提供自动配置的许多数据服务都有某种形式的SSL配置。但是，不同服务的支持程度和用于配置的属性并不一致。现在，大多数数据服务的自动配置属性都有类似的ssl结构，为不同服务提供了更高的一致性：

Cassandra - spring.cassandra.ssl
Couchbase - spring.couchbase.env.ssl
Elasticsearch - spring.elasticsearch.restclient.ssl
MongoDB - spring.data.mongodb.ssl
Redis - spring.data.redis.ssl

大多数服务都有一个 *.ssl.enabled 属性，它将在客户端库中使用Java运行时 cacerts 中包含的信任材料启用SSL支持。一个 *.ssl.bundle 属性应用了一个命名的SSL bundle ，以启用客户端库的SSL支持，并使用该 bundle 的自定义信任材料。这使得配置更加一致，并允许将相同的信任材料应用于多个连接，减少属性或YAML配置的数量。

为了提供这种水平的一致性，以前一些与SSL相关的属性已经被废弃。更多细节请参见配置属性变更记录。

JDBC连接是这个列表中的一个明显遗漏。我们计划在即将发布的Spring Boot中对JDBC连接采用 SSL bundle 方式。

嵌入式Web服务器

Spring Boot支持的所有嵌入式Web服务器都可以通过使用 server.ssl.* 属性配置为用SSL保护传入的连接。自Spring Boot诞生以来，就一直支持Java keystore文件，而自2.7以来，就一直支持PEM编码的文件。

server.ssl 前缀下的属性数量随着时间的推移而增加，由于缺乏结构，很难分辨哪些属性可以一起使用，哪些是相互排斥的。以前的 server.ssl.* 属性继续被支持，但新的 server.ssl.bundle 属性可用于将配置的 SSL bundle 应用到嵌入式Web服务器。

下面的两个例子在功能上是一样的：

server:
  ssl:
    key-alias: “server”
    key-password: “keysecret”
    key-store: "classpath:server.p12"
    key-store-password: "storesecret"
    client-auth: NEED

spring:
  ssl:
    bundle:
      jks:
        web-server:
          key:
            alias: "server"
            password: “keysecret”
          keystore:
            location: "classpath:server.p12"
            password: "storesecret"
server:
  ssl:
    bundle: “web-server”
    client-auth: NEED

旧的结构更简洁，但新的结构减少了错误配置的机会，并允许在多个连接上使用相同的SSL bundle 。

management.server.ssl 和 spring.rsocket.server.ssl 属性也做了类似的修改。

未来的工作

我们真的希望你发现 SSL bundle 是Spring Boot 3.1的一个有用功能。如果你发现任何其他你认为我们应该添加SSL支持的技术，请提出一个 GitHub issue ，我们会在未来的版本中考虑它。

原文：https://spring.io/blog/2023/06/07/securing-spring-boot-applications-with-ssl/