利用 KeyStore Explorer 快速生成带 SAN 的 HTTPS 证书并集成到 SpringBoot 项目

1. 为什么需要带SAN的HTTPS证书？

几年前我做项目时遇到过这样一个问题：本地开发环境用自签名证书，浏览器总是提示"不安全"。即使把证书安装到受信任的根证书颁发机构，访问localhost时仍然会报NET::ERR_CERT_COMMON_NAME_INVALID错误。后来发现是证书缺少SAN（Subject Alternative Name）扩展字段导致的。

SAN相当于给证书添加了"备用身份证"，可以同时支持多个域名和IP地址。现代浏览器对证书校验越来越严格，仅靠Common Name字段已经不能满足安全要求。比如你开发微服务时，可能需要同时支持：

• localhost
• 127.0.0.1
• 自定义域名如api.dev.com

KeyStore Explorer这个GUI工具完美解决了这个问题。相比keytool命令行需要记忆大量参数，它通过可视化界面就能快速生成带SAN的证书。实测从安装到生成可用证书，新手也能在10分钟内完成。

2. 环境准备与工具安装

2.1 下载KeyStore Explorer

官网提供了两种安装方式：

• 安装版（推荐Windows用户）
• 便携版（解压即用，适合快速体验）

我习惯用便携版，下载地址：

https://github.com/kaikramer/keystore-explorer/releases

选择最新版本的zip包，比如目前稳定版是5.5.4。解压后直接运行kse.exe即可，不需要管理员权限。

注意：如果系统缩放比例不是100%，可能会遇到界面显示异常。建议临时调整缩放比例后再启动工具。

2.2 Java环境检查

虽然KeyStore Explorer自带JRE，但建议系统预先安装JDK 8+。可以通过命令验证：

java -version

如果没有安装，推荐使用AdoptOpenJDK或Oracle JDK。SpringBoot 2.5+需要JDK 11以上支持。

3. 创建证书链实战

3.1 新建PKCS12密钥库

启动工具后：

1. 点击"Create a new KeyStore"
2. 类型选择PKCS12（对应.p12后缀）
3. 设置密钥库密码（示例用123456）
4. 立即保存为test.p12

这里有个细节：保存时务必手动添加.p12后缀。某些版本不会自动添加后缀名，导致后续SpringBoot识别失败。

3.2 生成根证书

右键空白处选择"Generate Key Pair"：

• 算法：RSA 2048（兼容性最好）
• 有效期：建议3650天（10年）
• 点击Name旁边的编辑按钮

在证书信息窗口填写：

• Common Name (CN): myroot
• Organization (O): Dev Lab
• 其他字段可留空

关键步骤：返回主界面后，右键刚生成的密钥对，选择"Export Certificate Chain"导出为myroot.cer。这个文件后续要导入到系统信任库。

3.3 签发服务端证书

右键根证书选择"Sign → Sign New Key Pair"：

1. 别名设为server
2. 密码保持与密钥库一致（123456）
3. 点击"Add Extensions"

在扩展窗口：

1. 选择"SSL Server"模板
2. 编辑Subject Alternative Name
3. 添加以下类型：
   • DNS: localhost
   • IP: 127.0.0.1
   • DNS: api.dev.com

实测发现：Chrome 91+版本必须校验SAN字段。即使CN正确，缺少SAN也会触发ERR_CERT_COMMON_NAME_INVALID错误。

4. SpringBoot集成指南

4.1 配置文件设置

将test.p12复制到resources目录，application.properties配置：

server.port=8443 server.ssl.key-store=classpath:test.p12 server.ssl.key-store-password=123456 server.ssl.key-store-type=PKCS12 server.ssl.key-alias=server

常见踩坑点：

• 如果密钥对密码不同，需额外配置key-password
• 端口冲突时改用8443代替443
• 别名大小写敏感

4.2 信任根证书

双击之前导出的myroot.cer文件：

1. 选择"安装证书"
2. 存储位置选"受信任的根证书颁发机构"
3. 完成导入

验证方法：

curl --cacert myroot.cer https://localhost:8443

5. 高级配置技巧

5.1 多域名支持

在SAN扩展中可添加多个条目：

• 通配符域名：*.dev.com
• IPv6地址：[::1]
• 电子邮件：admin@dev.com

每个证书最多支持100个SAN条目，足够应对复杂开发场景。

5.2 证书生命周期管理

KeyStore Explorer可以：

• 查看证书有效期（Tools → Examine Certificate）
• 到期提醒（Preferences → Expiry Warning）
• 批量导出（Ctrl+多选后右键Export）

建议开发环境证书设置较长有效期（如5年），避免频繁重新部署。

6. 常见问题排查

遇到HTTPS失败时检查：

1. 证书链是否完整（根证书已信任）
2. SAN是否包含当前访问的地址
3. SpringBoot日志中的SSL初始化信息
4. 浏览器控制台的详细错误代码

一个快速验证命令：

openssl s_client -connect localhost:8443 -showcerts

最后分享一个实际案例：我们团队在开发支付系统时，需要同时测试微信支付回调（需域名）和本地调试。通过配置SAN同时包含公网域名和127.0.0.1，完美解决了内外网测试环境问题。这种灵活度是传统单域名证书无法比拟的。