Implementação de Hot Reload de Certificados SSL em Spring Boot

A atualização de certificados SSL sem a necessidade de reiniciar a aplicação (Hot Reload) é um requisito crítico para sistemas de alta disponibilidade que buscam o "zero downtime". Dependendo da versão do ecossistema Spring Boot utilizada, existem abordagens distintas para alcançar esse objetivo, variando de recursos nativos a implementações customizadas.

Abordagem Nativa: Spring Boot 3.2.0+

Desde a versão 3.2.0, o Spring Boot introduizu suporte nativo para a recarga dinâmica de certificados SSL. Esta funcionalidade monitora alterações nos arquivos de certificados e chaves, atualizando o contexto SSL automaticamente.

1. Configuração do Ambiente

Primeiro, geramos os arquivos de certificado e chave privada via OpenSSL para fins de teste:

openssl req -x509 -newkey rsa:4096 -keyout chave-privada.pem -out certificado.pem -sha256 -days 365 -nodes -subj "/CN=api-segura"

2. Parametrização no application.yml

A configuração utiliza o conceito de SSL Bundles. Ao ativar a propriedade reload-on-update, o Spring inicia um monitor de sistema de arquivos.

spring:
  ssl:
    bundle:
      pem:
        servico-api:
          reload-on-update: true
          keystore:
            certificate: "certs/certificado.pem"
            private-key: "certs/chave-privada.pem"

server:
  port: 8443
  ssl:
    bundle: "servico-api"

3. Mecanismo de Funcionamento

O Spring Boot utiliza threads em segundo plano para observar mudanças nos arquivos definidos no bundle. Quando uma alteração é detectada, o SslContext do servidor web embutido (Tomcat ou Netty) é atualizado. É importante notar que conexões HTTP/2 ou Keep-Alive existentes podem manter o certificado antigo até serem encerradas, enquanto novas conexões utilizarão o certificado atualizado.

Abordagem para Versões Anteriores ou Customizadas

Para aplicações rodando em versões legadas do Spring Boot (2.x) ou que necessitam buscar certificados de fontes etxernas (como bancos de dados ou HashiCorp Vault), a implementação de um X509TrustManager customizado é o caminho recomendado.

1. Implementação do TrustManager Dinâmico

Nesta lógica, sobrescrevemos a validação de confiança para que ela consulte uma fonte de dados atualizável em tempo de execução.

public class GerenciadorConfiancaCustomizado implements X509TrustManager {

    private volatile X509TrustManager trustManagerInterno;

    public void atualizarCertificados(InputStream novoKeyStoreStream, char[] senha) throws Exception {
        KeyStore ks = KeyStore.getInstance(KeyStore.getDefaultType());
        ks.load(novoKeyStoreStream, senha);
        
        TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        tmf.init(ks);
        
        for (TrustManager tm : tmf.getTrustManagers()) {
            if (tm instanceof X509TrustManager) {
                this.trustManagerInterno = (X509TrustManager) tm;
                break;
            }
        }
    }

    @Override
    public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
        trustManagerInterno.checkClientTrusted(chain, authType);
    }

    @Override
    public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
        trustManagerInterno.checkServerTrusted(chain, authType);
    }

    @Override
    public X509Certificate[] getAcceptedIssuers() {
        return trustManagerInterno.getAcceptedIssuers();
    }
}

2. Registro do Bean no Contexto

Para que o Spring utilize esse gerenciador, ele deve ser exposto como um Bean e injetado na configuração do cliente ou servidor HTTP.

@Bean
public X509TrustManager trustManager() {
    return new GerenciadorConfiancaCustomizado();
}

Comparativo de Soluções

Critério Spring Boot 3.2+ (Nativo) X509TrustManager Customizado
Esforço de Implementação Mínimo (Apenas YAML) Moderado (Código Java)
Fontes de Certificado Sistema de Arquivos (PEM) Qualquer fonte (DB, API, Vault)
Suporte a mTLS Sim Sim (Totalmente controlável)
Manutenibilidade Alta (Padrão de mercado) Média (Requer testes manuais)

Considerações de Segurança e Perforamnce

  • Permissões: Certifique-se de que o processo da JVM tenha permissões de leitura estritas sobre os novos arquivos de certificado para evitar falhas na recarga.
  • Monitoramento: É recomendável expor um endpoint via Spring Boot Actuator ou logs específicos para confirmar que o evento de recarga foi disparado com sucesso.
  • Latência: A recarga do contexto SSL é uma operação leve, mas a reconstrução frequente do TrustManager em ambientes de altíssimo tráfego deve ser testada para evitar contenção de threads.

Tags: spring-boot ssl tls certificates Security

Publicado em 6-19 23:33

Tags em Destaque

©2026 Doido Dev