在Spring Cloud API网关中启用SSL证书加密是一个重要的步骤，它能确保数据在网络传输过程中的安全性。本文将详细介绍如何配置Spring Cloud Gateway以支持HTTPS。

一、准备SSL证书

首先，你需要一个有效的SSL证书和私钥文件。你可以从受信任的证书颁发机构（CA）购买，或者使用自签名证书用于开发环境。以下是生成自签名证书的方法：

openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
-keyout gateway.key -out gateway.crt

上述命令会生成两个文件：

• gateway.key : 私钥文件。
• gateway.crt : 自签名证书文件。

如果你已经拥有证书文件，可以跳过这一步骤。

二、配置Spring Cloud Gateway

接下来，在你的Spring Boot项目中配置Spring Cloud Gateway以使用SSL证书。以下是详细步骤：

1. 添加依赖

确保你的 pom.xml 或 build.gradle 包含Spring Cloud Gateway和其他必要的依赖项。例如，在Maven中：

<dependencies>
    <dependency>
        <groupId>org.springframework.cloud</groupId>
        <artifactId>spring-cloud-starter-gateway</artifactId>
    </dependency>
    <!-- 其他依赖 -->
</dependencies>

<dependencyManagement>
    <dependencies>
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-dependencies</artifactId>
            <version> $ {spring-cloud.version}</version>
            <type>pom</type>
            <scope>import</scope>
        </dependency>
    </dependencies>
</dependencyManagement>

2. 配置application.yml/application.properties

在项目的 src/main/resources 目录下编辑 application.yml 或 application.properties 文件，添加SSL配置信息。这里我们以YAML格式为例：

server:
  port: 8443
  ssl:
    key-store-type: PKCS12
    key-store: classpath:gateway.p12
    key-store-password: yourpassword
    key-password: yourpassword

为了安全起见，建议将密码存储在外部配置文件中，而不是直接写入代码库。

3. 将证书转换为PKCS#12格式

由于Spring Boot默认支持PKCS#12格式的密钥库，因此需要将之前生成的 .crt 和 .key 文件转换为 .p12 格式：

openssl pkcs12 -export -in gateway.crt -inkey gateway.key \
-out gateway.p12 -name tomcat -CAfile ca.crt -caname root

执行完此命令后，会生成名为 gateway.p12 的文件，并将其放置在 src/main/resources 目录下。

三、测试配置

启动Spring Cloud Gateway应用，然后尝试通过HTTPS访问API端点。例如，如果Gateway监听在8443端口，则可以通过以下URL进行测试：

https://localhost:8443/your-endpoint

你应该能够看到浏览器显示安全的HTTPS连接，而不会出现任何警告或错误提示。

四、注意事项

1. 生产环境中，强烈推荐使用由权威证书颁发机构签发的有效证书，而不是自签名证书。

2. 确保私钥文件的安全性，不要将其泄露给未经授权的人员。

3. 定期更新证书，以免因证书过期而导致服务中断。

通过以上步骤，您就可以成功地在Spring Cloud API网关上启用SSL证书加密，从而提高系统的安全性。希望这篇文章对您有所帮助！

Dogssl.cn拥有20年网络安全服务经验，提供构涵盖国际CA机构Sectigo、Digicert、GeoTrust、GlobalSign，以及国内CA机构CFCA、沃通、vTrus、上海CA等数十个SSL证书品牌。全程技术支持及免费部署服务，如您有SSL证书需求，欢迎联系!