SpringBoot 配置 HTTPS（自签名证书+正式证书）

做项目时，只要涉及"用户登录、支付、敏感数据传输"，就必须用 HTTPS------否则数据在网络上明文传输，很容易被劫持、篡改。

HTTPS 是不是只能买证书？自签名证书能不能用？SpringBoot 里怎么配？

今天就把 SpringBoot 配置 HTTPS 的全流程讲透：

开发环境：生成自签名证书（免费，不用花钱）；
生产环境：配置正式 SSL 证书（阿里云/腾讯云免费申请）；
额外技巧：配置 HTTP 自动跳转 HTTPS（用户输 http 也能自动到 https）。

纯实操，跟着做就能搞定，再也不用怕"HTTPS 配置报错"。

先搞懂核心：HTTPS 证书的两种类型

证书类型	自签名证书（开发/测试用）	正式 SSL 证书（生产用）
核心特点	自己生成，免费，浏览器会提示"不安全"	权威机构签发，免费/付费，浏览器信任
适用场景	本地开发、测试环境	生产环境、对外提供服务的项目
获取方式	用 JDK 的 keytool 命令生成	阿里云/腾讯云/Let's Encrypt 申请
浏览器表现	标红、提示"证书不受信任"	显示绿色小锁，提示"安全"

一句话总结：开发用自签名（省钱、方便），生产用正式证书（安全、用户体验好）。

开发环境------生成自签名证书

JDK 自带 keytool 工具，不用装额外软件，一行命令就能生成证书。

第一步：生成自签名证书

打开命令行（Windows 用 cmd，Linux/Mac 用终端），执行以下命令：

go 复制代码

1# 生成 JKS 格式证书（SpringBoot 推荐格式）
2keytool -genkeypair-alias springboot-https -keyalg RSA -keysize2048-storetype JKS -keystore springboot-https.jks -validity3650

命令参数解释（不用记，直接复制用）：

-alias

：证书别名（随便起，比如 springboot-https）；
-keyalg

：加密算法（RSA，通用）；
-keysize

：密钥长度（2048，足够安全）；
-storetype

：证书格式（JKS，SpringBoot 支持）；
-keystore

：证书文件名（springboot-https.jks）；
-validity

：有效期（3650 天，约10年）。

执行命令后，会提示输入信息，按提示填（开发环境随便填，不用真实信息）：

go 复制代码

输入密钥库口令: 123456 （设置证书密码，记下来，后面要用到）
再次输入新口令: 123456
您的名字与姓氏是什么?  [Unknown]:  localhost
您的组织单位名称是什么?  [Unknown]:  dev
您的组织名称是什么?  [Unknown]:  test
您所在的城市或区域名称是什么?  [Unknown]:  beijing
您所在的省/市/自治区名称是什么?  [Unknown]:  beijing
该单位的双字母国家/地区代码是什么?  [Unknown]:  CN
CN=localhost, OU=dev, O=test, L=beijing, ST=beijing, C=CN 是否正确?  [否]:  y
输入的密钥口令: （直接回车，和密钥库口令一致）

执行完成后，当前目录会生成 springboot-https.jks 文件（这就是自签名证书）。

第二步：把证书放到项目里

把生成的 springboot-https.jks 复制到 SpringBoot 项目的 src/main/resources 目录下（方便读取）。

第三步：配置 application.yml 启用 HTTPS

go 复制代码

1server:
2port:443# HTTPS 默认端口是 443（不用8080了）
3  ssl:
4# 证书路径（resources 下的 jks 文件）
5key-store: classpath:springboot-https.jks
6# 证书格式（JKS）
7key-store-type: JKS
8# 证书别名（和生成时的 -alias 一致）
9key-alias: springboot-https
10# 证书密码（生成时设置的 123456）
11key-store-password:123456

第四步：启动项目，测试 HTTPS

启动 SpringBoot 项目，日志里没有报错，说明配置成功；
打开浏览器，访问 https://localhost（不用加端口，443 是默认端口）；
浏览器会提示"您的连接不是私密连接"（自签名证书的正常现象），点击"高级"→"继续访问localhost（不安全）"；
能正常访问接口，说明 HTTPS 配置成功。

⚠️ 开发环境小技巧：如果想去掉浏览器的"不安全"提示，可以把自签名证书导入浏览器（具体步骤因浏览器而异，开发环境可忽略，不影响功能）。

生产环境------配置正式 SSL 证书

生产环境不能用自签名证书（用户看到"不安全"会不敢访问），需要用权威机构签发的正式证书。

第一步：申请正式 SSL 证书（以阿里云为例，免费）

登录阿里云官网 → 搜索"SSL 证书" → 进入证书管理控制台；
点击"购买证书" → 选择"免费版 DV SSL"（个人/小企业够用） → 提交订单（免费）；
填写域名（比如 www.xxx.com） → 验证域名（阿里云会自动验证，不用手动操作）；
验证通过后，下载证书（选择"Tomcat"格式，下载后是 zip 包）。

第二步：处理正式证书（转换成 JKS 格式）

阿里云下载的证书包含 xxx.pem 和 xxx.key 文件，需要转换成 SpringBoot 支持的 JKS 格式：

解压下载的 zip 包，得到两个文件：www.xxx.com.pem（公钥）、www.xxx.com.key（私钥）；
用 OpenSSL 工具转换成 PKCS12 格式（先装 OpenSSL，Windows 可下载 OpenSSL 安装包）：```bash openssl pkcs12 -export -in www.xxx.com.pem -inkey www.xxx.com.key -out www.xxx.com.p12 -name springboot-https ```
用 keytool 把 PKCS12 转换成 JKS 格式：```bash keytool -importkeystore -srckeystore www.xxx.com.p12 -srcstoretype PKCS12 -destkeystore www.xxx.com.jks -deststoretype JKS ```
输入密码（设置一个新密码，记下来），完成转换，得到 www.xxx.com.jks 文件。

第三步：配置生产环境 HTTPS

把 www.xxx.com.jks 复制到项目 src/main/resources 目录；
修改 application.yml（生产环境配置）：```yaml server: port: 443 # 生产环境 HTTPS 默认端口 ssl: key-store: classpath:www.xxx.com.jks # 正式证书文件名 key-store-type: JKS key-alias: springboot-https # 和转换时的 -name 一致 key-store-password: 你的证书密码 # 转换时设置的密码 # 可选：开启 HTTP2（提升性能） http2: enabled: true ```
打包部署项目，访问 https://www.xxx.com，浏览器会显示绿色小锁，提示"安全"。

高级技巧------HTTP 自动跳转 HTTPS

用户可能会输入 http://www.xxx.com（HTTP），需要自动跳转到 https://www.xxx.com（HTTPS），配置如下：

第一步：配置 HTTP 端口（比如 80）

go 复制代码

1server:
2port:443# HTTPS 端口
3  ssl:
4# 省略 HTTPS 证书配置...
5# 配置 HTTP 端口（80）
6  http:
7port:80

第二步：添加跳转配置类

go 复制代码

1importorg.apache.catalina.Context;
2importorg.apache.catalina.connector.Connector;
3importorg.apache.tomcat.util.descriptor.web.SecurityCollection;
4importorg.apache.tomcat.util.descriptor.web.SecurityConstraint;
5importorg.springframework.boot.web.embedded.tomcat.TomcatServletWebServerFactory;
6importorg.springframework.boot.web.servlet.server.ServletWebServerFactory;
7importorg.springframework.context.annotation.Bean;
8importorg.springframework.context.annotation.Configuration;
9
10@Configuration
11publicclassHttpsConfig{
12
13// 配置 HTTP 端口（80）
14@Value("${server.http.port:80}")
15privateint httpPort;
16
17// 配置 HTTPS 端口（443）
18@Value("${server.port:443}")
19privateint httpsPort;
20
21// 核心：创建 HTTP 连接器，自动跳转 HTTPS
22@Bean
23publicServletWebServerFactoryservletWebServerFactory(){
24TomcatServletWebServerFactory tomcat =newTomcatServletWebServerFactory(){
25@Override
26protectedvoidpostProcessContext(Context context){
27SecurityConstraint securityConstraint =newSecurityConstraint();
28                securityConstraint.setUserConstraint("CONFIDENTIAL");// 强制使用 HTTPS
29SecurityCollection collection =newSecurityCollection();
30                collection.addPattern("/*");// 所有路径都跳转
31                securityConstraint.addCollection(collection);
32                context.addConstraint(securityConstraint);
33}
34};
35// 添加 HTTP 连接器
36        tomcat.addAdditionalTomcatConnectors(createHttpConnector());
37return tomcat;
38}
39
40// 创建 HTTP 连接器
41privateConnectorcreateHttpConnector(){
42Connector connector =newConnector(TomcatServletWebServerFactory.DEFAULT_PROTOCOL);
43        connector.setScheme("http");
44        connector.setPort(httpPort);// HTTP 端口
45        connector.setSecure(false);
46        connector.setRedirectPort(httpsPort);// 跳转到 HTTPS 端口
47return connector;
48}
49}

配置完成后，访问 http://www.xxx.com 会自动跳转到 https://www.xxx.com，用户体验更好。

必避的 4 个坑

证书密码错误

：

启动报错 java.io.IOException: Keystore was tampered with, or password was incorrect；

解决：核对 key-store-password 是否和生成/转换证书时的密码一致。
证书别名错误

：

启动报错 Alias name springboot-https does not exist；

解决：key-alias 必须和生成证书时的 -alias 一致。
端口被占用

：

443/80 端口被其他程序占用（比如 IIS、Nginx），启动报错 Address already in use；

解决：要么杀掉占用端口的进程，要么临时改端口（比如 HTTPS 用 8443，HTTP 用 8080）。
正式证书域名不匹配

：

访问 https://xxx.com 提示"证书域名不匹配"；

解决：申请证书时的域名必须和访问的域名一致（比如申请 www.xxx.com，就不能用 xxx.com 访问）。

生产环境额外建议

证书过期提醒

：正式证书有有效期（免费版一般1年），记得提前续期；
Nginx 反向代理 HTTPS

：生产环境建议用 Nginx 配置 HTTPS（性能更好），SpringBoot 只处理业务逻辑；
禁用 HTTP 端口

：如果不需要跳转，直接禁用 80 端口，只开放 443；
配置 SSL 协议

：只启用 TLS 1.2/1.3（禁用老的 SSLv3/TLS 1.0），提升安全性：```yaml server: ssl: enabled-protocols: TLSv1.2,TLSv1.3 ciphers: ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256 ```

最后说两句

HTTPS 配置看似复杂，核心就三步：

开发环境：用 keytool 生成自签名证书，配置 443 端口；
生产环境：申请正式证书，转换成 JKS 格式，配置 HTTPS；
可选：配置 HTTP 自动跳转 HTTPS，提升用户体验。

不管是自签名还是正式证书，配置逻辑都是一样的------只是证书的来源不同。做好 HTTPS 配置，是保障项目数据安全的基础，也是生产环境上线的必备条件。

下一期，咱们会讲：SpringBoot 集成 Spring Security 实现用户认证（登录、权限控制），结合 HTTPS 打造安全的用户体系。

如果这篇文章帮你搞定了 HTTPS 配置，麻烦点个赞、在看，关注我，后续还有更多 SpringBoot 安全实战技巧，从入门到精通～