SpringBoot实现国密通信

要在两个 Spring Boot 项目（项目 A 和项目 B）之间通过国密协议实现 HTTPS 通信，我们需要完成以下步骤：

1. 生成支持国密的证书。
2. 配置两个 Spring Boot 项目，使用国密证书实现 HTTPS。
3. 项目 A 使用 RestTemplate 调用项目 B 的接口，验证通信是否成功。

1. 生成支持国密的证书

为了使用国密算法，通常需要使用一些支持国密算法的工具来生成证书。可以使用 OpenSSL 结合 gmssl 工具，或直接使用专门的工具，例如一些企业提供的国密证书生成工具。这里假设我们使用 GMSSL 工具生成证书。

1.1 安装 GMSSL（如果未安装）

可以从 GMSSL 的官方 GitHub 仓库下载并编译安装。

1.2 生成 SM2 密钥对和证书

1. 生成 CA 证书（用于签发服务器和客户端证书）：

   gmssl ecparam -genkey -name sm2p256v1 -out ca-key.pem
   gmssl req -new -x509 -sm3 -key ca-key.pem -out ca-cert.pem -subj "/CN=GM CA"
   

2. 生成服务器证书（假设用于项目 B）：

   gmssl ecparam -genkey -name sm2p256v1 -out server-key.pem
   gmssl req -new -key server-key.pem -out server-req.pem -subj "/CN=localhost"
   gmssl x509 -req -in server-req.pem -sm3 -CA ca-cert.pem -CAkey ca-key.pem -out server-cert.pem -days 365 -CAcreateserial
   

3. 生成客户端证书（假设用于项目 A）：

   gmssl ecparam -genkey -name sm2p256v1 -out client-key.pem
   gmssl req -new -key client-key.pem -out client-req.pem -subj "/CN=localhost"
   gmssl x509 -req -in client-req.pem -sm3 -CA ca-cert.pem -CAkey ca-key.pem -out client-cert.pem -days 365 -CAcreateserial
   

4. 将证书和密钥导出为 PKCS12 格式（供 Spring Boot 项目使用）：

   • 服务器端（项目 B）：

     gmssl pkcs12 -export -in server-cert.pem -inkey server-key.pem -out server-keystore.p12 -name server -CAfile ca-cert.pem -caname root
     

   • 客户端（项目 A）：

     gmssl pkcs12 -export -in client-cert.pem -inkey client-key.pem -out client-keystore.p12 -name client -CAfile ca-cert.pem -caname root
     

2. 配置 Spring Boot 项目使用 HTTPS

2.1 项目 B：提供 HTTPS 接口

1. 将 server-keystore.p12 放置在项目 B 的 resources 目录下。

2. 在项目 B 的 application.yml 配置文件中，配置 HTTPS 连接：

   server:
     port: 8443
     ssl:
       # server-keystore.p12文件放在工程src/main/resource目录下
       key-store: classpath:server-keystore.p12
       key-store-password: changeit # 使用导出时设置的密码
       key-store-type: PKCS12
       key-alias: server
   

3. 创建一个简单的 HTTPS 端点，供项目 A 调用：

   @RestController
   public class HelloController {
   
       @GetMapping("/hello")
       public String sayHello() {
           return "Hello from Project B with GMSSL!";
       }
   }
   

2.2 项目 A：使用 HTTPS 调用项目 B

1. 将 client-keystore.p12 放置在项目 A 的 resources 目录下。

2. 在项目 A 的 application.yml 中配置 SSL 证书，以便项目 A 可以信任项目 B 的服务器证书：

   server:
     ssl:
      # client-keystore.p12文件放在工程src/main/resource目录下
       key-store: classpath:client-keystore.p12
       key-store-password: changeit
       key-store-type: PKCS12
       key-alias: client
   

3. 配置 RestTemplate，加载客户端证书并信任项目 B 的证书：

   import org.springframework.context.annotation.Bean;
   import org.springframework.context.annotation.Configuration;
   import org.springframework.web.client.RestTemplate;
   import javax.net.ssl.SSLContext;
   import org.apache.http.impl.client.HttpClients;
   import org.apache.http.ssl.SSLContextBuilder;
   import org.apache.http.conn.ssl.TrustSelfSignedStrategy;
   import org.springframework.http.client.HttpComponentsClientHttpRequestFactory;
   
   @Configuration
   public class RestTemplateConfig {
   
       @Bean
       public RestTemplate restTemplate() throws Exception {
           SSLContext sslContext = SSLContextBuilder
                   .create()
                   .loadKeyMaterial(
                           new File("src/main/resources/client-keystore.p12"), // 客户端证书路径
                           "changeit".toCharArray(), // KeyStore 密码
                           "changeit".toCharArray()) // Key 密码
                   // 如果使用的是第三方权威 CA 签发的标准证书（如 DigiCert、GlobalSign、Let's Encrypt 等），通常不需要在客户端手动配置 CA 证书。因为这些权威 CA 的根证书已经被包含在大多数 JDK 的默认信任库中。省略下面一行
                   .loadTrustMaterial(new File("src/main/resources/ca-cert.pem"), new TrustSelfSignedStrategy())
                   .build();
   
           HttpComponentsClientHttpRequestFactory requestFactory = new HttpComponentsClientHttpRequestFactory(
                   HttpClients.custom().setSSLContext(sslContext).build());
           return new RestTemplate(requestFactory);
       }
   }
   

4. 在项目 A 中调用项目 B 的 HTTPS 接口：

   import org.springframework.beans.factory.annotation.Autowired;
   import org.springframework.web.bind.annotation.GetMapping;
   import org.springframework.web.bind.annotation.RestController;
   import org.springframework.web.client.RestTemplate;
   
   @RestController
   public class TestController {
   
       @Autowired
       private RestTemplate restTemplate;
   
       @GetMapping("/call-hello")
       public String callHello() {
           String url = "https://localhost:8443/hello"; // 项目 B 的 HTTPS 地址
           return restTemplate.getForObject(url, String.class);
       }
   }
   

3. 启动和测试

1. 启动项目 B，然后启动项目 A。
2. 访问项目 A 的接口 http://localhost:8080/call-hello，它会通过 HTTPS 连接到项目 B。
3. 如果配置正确，将看到返回消息：Hello from Project B with GMSSL!

备注

• 本示例使用的是自签名证书。在实际生产环境中，建议使用权威 CA 签发的国密证书。
• 若有客户端与服务器证书双向认证的需求，还需要在服务器端配置 client-auth=need。

如何验证国密生效

要验证 A 和 B 项目之间是否采用了国密算法通信，可以通过以下几种方法来确认：

1. 检查证书算法信息

可以查看项目 B 的服务器证书，确保它确实是基于国密算法生成的（如 SM2 算法）。在 B 项目的 keystore 中找到证书，使用以下命令查看证书的算法：

keytool -list -v -keystore server-keystore.p12 -storepass <password>

在输出中找到 Signature algorithm 字段，确保它是国密算法（例如 SM2WITHSM3）签名的。如果服务器证书使用的是 SM2，则通信时双方会使用国密的公私钥来加解密数据。

2. 使用抓包工具分析加密算法

使用 Wireshark 等抓包工具可以详细检查 A 和 B 之间的 HTTPS 流量。抓包时，注意观察 TLS 握手包中的加密算法和密钥交换算法，确认是否包含 SM2、SM3、SM4 等国密算法。

具体步骤：

1. 打开 Wireshark 并开始抓包。
2. 过滤流量为 HTTPS 或指定 B 项目的 IP 地址。
3. 找到 TLS 握手包，查看加密算法的协商信息，确保包含国密协议（例如 ECDHE-SM2-WITH-SM4-SM3 或其他 SM 系列）。

3. 查看项目启动日志

有些 SSL/TLS 库会在握手时输出所使用的加密算法，检查 A 和 B 项目的启动日志或请求日志，有时可以找到所使用的具体加密算法信息。如果配置正确，日志中可能会记录握手使用的国密算法。

4. 服务器端代码调试验证

在项目 B 中可以使用调试代码来确认使用的密钥对。例如，使用 SSLContext 打印出当前会话的加密算法，确保其采用 SM 系列算法：

import javax.net.ssl.SSLSession;
import javax.net.ssl.HttpsURLConnection;
import java.net.URL;

public void checkSSLConnection() throws Exception {
    URL url = new URL("https://localhost:8443/hello");
    HttpsURLConnection connection = (HttpsURLConnection) url.openConnection();
    connection.connect();

    SSLSession session = connection.getSession();
    System.out.println("Cipher Suite: " + session.getCipherSuite()); // 确认是否为 SM 算法
}

通过这些方法，可以更好地验证 A 和 B 项目是否确实采用了国密算法进行通信。