很久不写了,因为一直没有一个项目的需求推动,担心写的东西可能不是太实际。其间学习的事倒是做了不少,设计模式、领域开发、Antlr、kubernetes等等,其实大部分都记在纸质笔记上了。。
基于对新技术的向往,以及微服务生态功能的对比调研,在技术选型上我站边Springcloud,随之而来的大量架构设计工作,部署监控工作,路漫漫其修远兮。
小公司的小组长不太好当,需求分析、计划排期、架构、模块类图、数据库表、安全、部署、监控都要做。
前一天boss找我,说我们之前的前后端交互太暴露了,明文密码,明文传输,安全隐患很大。鉴于我们现在的微服务架构选择了Springcloud,能不能让它支持https,密码的事另做方案。
这自然是个修炼的机会啊。开始。
先说下角色指代:
Eureka:注册中心 server
Config:配置中心
consumer:client
producer:client
gateway:Zuul网关
首先,明确目标,网上大部分标题硬核晃眼的文章实际上只做满足一半目标的事情,而且普遍做一半还会出错,贴代码往往不给出引用的包,也不说明版本。通通让读者去猜。
故我把Springcloud支持Https这件事情分为三个小目标。
1、正确注册到Eureka
判断标准:Config启动后Eureka有显示
这一步需要生成证书并添加信任,要让Java运行时信任自己生成的证书(默认还会跑到那里去找),其实应该可以做到程序里,不过资料较少,加在哪里需要研究下。
#生成keystore,注意SAN很重要,https地址如不包含在此处,使用时则会报错
keytool -genkey -alias server -keyalg RSA -storetype PKCS12 -keystore serverkeystore.p12 -ext SAN=dns:localhost,ip:127.0.0.1
#导出alias为server的证书
keytool -export -alias server -file servercert.cer -keystore serverkeystore.p12
#将证书添加至jre信任秘钥库(alias可以不为server)
keytool -import -alias server -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -file servercert.cer
然后在Eureka和Config的springboot配置文件中指明https注册,
eureka.instance.hostname=localhost
#主要是这两条
eureka.instance.secure-port-enabled=true
eureka.instance.non-secure-port-enabled=false
#因为有默认值所以要覆盖下
eureka.instance.status-page-url=https://${eureka.instance.hostname}:${server.port}/info
eureka.instance.health-check-url=https://${eureka.instance.hostname}:${server.port}/health
eureka.instance.home-page-url=https://${eureka.instance.hostname}:${server.port}/
再配置ssl秘钥库,
server.ssl.key-store=classpath:serverkeystore.p12
server.ssl.key-store-password=123456
server.ssl.keyStoreType=PKCS12
server.ssl.keyAlias=server
此时,springboot应该默认采用https方式注册了。
因为是自己签发的证书,如果不爽浏览器的安全提示,可以在浏览器中添加一下证书根节点。
但是,朋友们,我们的目的不是instance成功注册而是去取注册中心的instance信息对吗。
2、从Eureka取到各client的https地址和端口
例:正确从Config读取配置即可
发现这时的问题是consumer或producer取不到Instance的正确端口,
比如consumer通过spring.cloud.config.discovery.serviceId就找不到Config的instance,改成spring.cloud.config.uri直接指定Config的https地址就没问题。
原因就在这条配置,eureka把http和https的通信端口设置分开了:
#安全通信端口(默认443)
eureka.instance.securePort=your port
也许还有一条对你起作用的配置:
#是否优先使用IP地址作为主机名的标识,默认false(当然,如果你生成秘钥的SAN包含当前ip那也无妨)
#eureka.instance.prefer-ip-address=true
此时consumer或producer可以取到Config的配置。
3、测试经Zuul转发的请求结果
例:一个request经gateway consumer producer走通,返回符合期望即可
此时你可以在gateway设置http端口转发https、限制访问方法(注册EmbeddedServletContainerFactory、重写addAdditionalTomcatConnectors)等。
看到com.netflix.zuul.exception.ZuulException: Forwarding error的报错消失,至此在功能层面初步成功。
但是,https占用资源多些,考虑到性能应只让gateway支持https,之后转发http给springcloud client。网上看到了一些文章,实现应该不成问题。
然而这时我忽然想到,为什么不使用nginx支持https再转发http给springcloud呢?springcloud不用动的,开发测试时也方便些。
待续。
注:
0、server和client当然可以配置不同的证书。
1、Lets Encrypt提供免费、自动生成的SSL证书,到期可自动更新。
2、使用 Lets Encrypt 生成用于 https 站点的免费 SSL 证书(集成nginx,尚未验证) 参考https://lzw.me/a/lets-encrypt-ssl.html
3、若攻击者有意,使用Fiddler作为中间人仍可以抓取https报文。