嘿，刚好我之前折腾过类似的Java栈项目，给你一步步拆解SSL/TLS配置的方案，顺便聊聊自签名证书在局域网的适用性：

局域网场景下自签名证书是否足够？ #

完全足够！如果你的服务只在局域网内使用，且所有接入的设备都是可信的（没有外部恶意节点混入），自签名证书完全能满足加密需求。它不需要依赖第三方CA机构，部署成本低、速度快，唯一需要注意的是要确保客户端信任你的自签名证书，同时别把证书泄露给局域网外的不可信主体。

服务端（Spring Boot）配置步骤 #

1. 生成自签名证书 #

用JDK自带的keytool命令生成PKCS12格式的证书（这种格式兼容性更好）：

keytool -genkeypair -alias myserver -keyalg RSA -keysize 2048 -storetype PKCS12 -keystore keystore.p12 -validity 3650

• alias：证书别名，随便取，后续配置要用到
• keysize：密钥长度，建议至少2048位，安全性更高
• validity：证书有效期，这里设为10年（3650天），避免频繁更新
• 执行命令后会提示输入密码、组织信息等，记得记好密码，后续配置要用到

2. 配置Spring Boot #

把生成的keystore.p12放到项目的src/main/resources目录下，然后在application.properties中添加SSL相关配置：

# SSL配置
server.ssl.key-store=classpath:keystore.p12
server.ssl.key-store-password=你设置的密码
server.ssl.key-store-type=PKCS12
server.ssl.key-alias=myserver
# 改用HTTPS端口，默认443，本地测试可以用8443
server.port=8443

启动服务后，你的REST接口就会通过https://<服务器IP>:8443提供服务了。

客户端（JavaFX + Apache HttpClient）配置步骤 #

核心是让客户端信任服务端的自签名证书，然后配置HttpClient使用SSL连接。

1. 导出服务端证书 #

先从服务端的keystore里导出证书文件：

keytool -export -alias myserver -keystore keystore.p12 -file server.crt -storepass 你设置的密码

执行后会得到server.crt文件，把它复制到客户端项目中。

2. 创建客户端信任库 #

用keytool把导出的证书导入到客户端的信任库中（推荐自定义信任库，不要直接修改JRE的默认cacerts，避免换环境失效）：

keytool -import -alias myserver -file server.crt -keystore truststore.p12 -storetype PKCS12 -storepass 自定义信任库密码

导入时会提示是否信任该证书，输入yes确认即可。

3. 配置Apache HttpClient使用SSL #

在JavaFX项目中编写代码，让HttpClient加载自定义信任库并使用SSL连接：

import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClients;
import org.apache.http.ssl.SSLContextBuilder;

import java.io.FileInputStream;
import java.security.KeyStore;

public class SSLHttpClientFactory {
    public static CloseableHttpClient createSSLClient() throws Exception {
        // 加载自定义信任库
        KeyStore trustStore = KeyStore.getInstance("PKCS12");
        // 注意路径：如果是打包后的JavaFX应用，建议把truststore.p12放到resources目录，用getResourceAsStream读取
        try (FileInputStream instream = new FileInputStream("path/to/truststore.p12")) {
            trustStore.load(instream, "自定义信任库密码".toCharArray());
        }

        // 构建SSLContext，信任信任库中的所有证书
        SSLContext sslContext = SSLContextBuilder.create()
                .loadTrustMaterial(trustStore, (certChain, authType) -> true)
                .build();

        // 构建支持SSL的HttpClient
        return HttpClients.custom()
                .setSSLContext(sslContext)
                .build();
    }
}

之后JavaFX里调用服务端接口时，用这个工厂类创建的HttpClient即可。

偷懒的测试方案（仅限局域网可信环境）

如果你嫌导入证书麻烦，也可以写一个信任所有证书的SSL上下文（绝对不能在生产环境用！）：

SSLContext sslContext = SSLContextBuilder.create()
        .loadTrustMaterial(null, (certChain, authType) -> true)
        .build();

这种方式会跳过所有证书验证，只适合完全可信的局域网测试场景。

额外注意事项 #

• 时间同步：确保服务端和客户端的系统时间差不要太大，否则证书会被判定为过期
• 密钥强度：尽量用4096位的密钥长度，比2048位更安全
• 测试验证：配置完后可以用浏览器访问https://<服务器IP>:8443，或者用curl -k https://<服务器IP>:8443/api/你的接口测试服务端；客户端调用时注意捕获SSL相关异常，排查问题

内容的提问来源于stack exchange，提问作者Milos Misic