Spring Boot 3.2.0 中的 SSL 热重载功能

2023-11-08

Spring Boot 3.2.0 为嵌入式 Web 服务器添加了热加载 SSL 证书和密钥的功能。这意味着无需重启应用就能替换 SSL 配置。Tomcat 和 Netty 嵌入式 Web 服务器支持热重载。

首先，使用 OpenSSL 创建 SSL 私钥和匹配证书：

mkdir certs
cd certs
openssl req -x509 -subj "/CN=demo-cert-1" -keyout demo.key -out demo.crt -sha256 -days 365 -nodes -newkey ed25519

这会创建一个私钥，存储在 certs/demo.key 中，和一个与之匹配的（自签名）证书，通用名称为 demo-cert-1，存储在 certs/demo.crt 中。

现在创建一个新的 Spring Boot 3.2.0 应用，添加 Spring Web 依赖，默认情况下使用 Tomcat Web 服务器。你可以通过 start.springboot.io 快速创建。

在 application.yaml 配置文件中，添加如下配置：

spring.ssl.bundle.pem:
  demo:
    reload-on-update: true
    keystore:    
      certificate: "certs/demo.crt"
      private-key: "certs/demo.key"

这配置了一个 SSL Bundle，名称为 demo，并配置上文生成的证书和私钥。

reload-on-update: true，配置指定 Spring Boot 在后台监视文件，并在文件发生变化时触发重新加载。

接着，配置 Web 服务器使用该 Bundle，并监听 8443 端口：

server.ssl.bundle: "demo"
server.port: 8443

添加一个简单的 Controller，只响应一句 "Hello World"：

@RestController
class DemoController {
    @GetMapping(path = "/", produces = MediaType.TEXT_PLAIN_VALUE)
    String helloWorld() {
        return "Hello World";
    }
}

启动应用，你可以在日志中看到类似如下的内容，从而确认它是使用 HTTPS 在 8443 端口启动的。

INFO 82407 --- [           main] o.s.b.w.embedded.tomcat.TomcatWebServer  : Tomcat initialized with port 8443 (https)

现在，可以使用 curl 进行第一次请求：

$ curl --insecure https://localhost:8443/
Hello World%

一切 OK！注意，这里必须使用 --insecure 参数，因为 SSL 证书是自签名的，不被 curl 信任。

将 curl 切换到 verbose（详细）模式，可以额获取有关 SSL 握手过程的信息：

$ curl --verbose --insecure https://localhost:8443/
*   Trying 127.0.0.1:8443...
* Connected to localhost (127.0.0.1) port 8443 (#0)
* ALPN: offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN: server did not agree on a protocol. Uses default.
* Server certificate:
*  subject: CN=demo-cert-1
*  start date: Nov  2 09:22:53 2023 GMT
*  expire date: Nov  1 09:22:53 2024 GMT
*  issuer: CN=demo-cert-1
*  SSL certificate verify result: self-signed certificate (18), continuing anyway.
* using HTTP/1.x
> GET / HTTP/1.1
> Host: localhost:8443
> User-Agent: curl/8.0.1
> Accept: */*
> 
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
< HTTP/1.1 200 
< Content-Type: text/plain;charset=UTF-8
< Content-Length: 11
< Date: Thu, 02 Nov 2023 09:33:37 GMT
< 
* Connection #0 to host localhost left intact
Hello World

在 subject: CN=demo-cert-1 这一行中，可以看到证书的通用名称是 demo-cert-1，这在后面会很重要。

现在试试热重载，用 OpenSSL 生成新的私钥和证书，覆盖旧文件：

cd certs
openssl req -x509 -subj "/CN=demo-cert-2" -keyout demo.key -out demo.crt -sha256 -days 365 -nodes -newkey ed25519

这次，证书通用名称为 demo-cert-2。

覆盖旧文件一段时间后，你会在日志中看到如下内容：

INFO 83162 --- [-bundle-watcher] o.a.t.util.net.NioEndpoint.certificate   : Connector [https-jsse-nio-8443], TLS virtual host [_default_], certificate type [UNDEFINED] configured from keystore [/home/xxx/.keystore] using alias [tomcat] with trust store [null]

这段复杂的日志表示 Tomcat 重新加载了私钥和证书。

现在可以用 curl 验证新证书是否已被使用：

$ curl --verbose --insecure https://localhost:8443/
*   Trying 127.0.0.1:8443...
* Connected to localhost (127.0.0.1) port 8443 (#0)
* ALPN: offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN: server did not agree on a protocol. Uses default.
* Server certificate:
*  subject: CN=demo-cert-2
*  start date: Nov  2 09:37:46 2023 GMT
*  expire date: Nov  1 09:37:46 2024 GMT
*  issuer: CN=demo-cert-2
*  SSL certificate verify result: self-signed certificate (18), continuing anyway.
* using HTTP/1.x
> GET / HTTP/1.1
> Host: localhost:8443
> User-Agent: curl/8.0.1
> Accept: */*
> 
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
< HTTP/1.1 200 
< Content-Type: text/plain;charset=UTF-8
< Content-Length: 11
< Date: Thu, 02 Nov 2023 09:39:47 GMT
< 
* Connection #0 to host localhost left intact
Hello World

通过 subject: CN=demo-cert-2 这一行，可以确定新的证书已经生效。

顺便说一下，已经使用旧证书创建的连接，仍然使用的是旧证书。在新证书变更发生后，新的连接才会使用新证书。

希望这个新功能可以简化你的操作。如果你有改进的意见或者是发现了新的错误。欢迎你在官方 issues 上提出。

Ref：https://spring.io/blog/2023/11/07/ssl-hot-reload-in-spring-boot-3-2-0