為服務(wù)器生成證書(shū)

“運(yùn)行”控制臺(tái)，進(jìn)入%JAVA_HOME%/bin目錄，使用如下命令進(jìn)入目錄：

cd “c:\Program Files\Java\jdk1.6.0_11\bin”?

使用keytool為T(mén)omcat生成證書(shū)，假定目標(biāo)機(jī)器的域名是“l(fā)ocalhost”，keystore文件存放在“D:\home\tomcat.keystore”，口令為“password”，使用如下命令生成：

keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\home\tomcat.keystore -validity 36500 (參數(shù)簡(jiǎn)要說(shuō)明：“D:\home\tomcat.keystore”含義是將證書(shū)文件的保存路徑，證書(shū)文件名稱是tomcat.keystore ；“-validity 36500”含義是證書(shū)有效期，36500表示100年，默認(rèn)值是90天 “tomcat”為自定義證書(shū)名稱)。

?

在命令行填寫(xiě)必要參數(shù)：

A、 輸入keystore密碼：此處需要輸入大于6個(gè)字符的字符串。

B、 “您的名字與姓氏是什么？”這是必填項(xiàng)，并且必須是TOMCAT部署主機(jī)的域名或者IP[如：gbcom.com 或者 10.1.25.251]（就是你將來(lái)要在瀏覽器中輸入的訪問(wèn)地址），否則瀏覽器會(huì)彈出警告窗口，提示用戶證書(shū)與所在域不匹配。在本地做開(kāi)發(fā)測(cè)試時(shí)，應(yīng)填入“l(fā)ocalhost”。

C、 你的組織單位名稱是什么？”、“您的組織名稱是什么？”、“您所在城市或區(qū)域名稱是什么？”、“您所在的州或者省份名稱是什么？”、“該單位的兩字母國(guó)家代碼是什么？”可以按照需要填寫(xiě)也可以不填寫(xiě)直接回車，在系統(tǒng)詢問(wèn)“正確嗎？”時(shí)，對(duì)照輸入信息，如果符合要求則使用鍵盤(pán)輸入字母“y”，否則輸入“n”重新填寫(xiě)上面的信息。

D、 輸入<tomcat>的主密碼，這項(xiàng)較為重要，會(huì)在tomcat配置文件中使用，建議輸入與keystore的密碼一致，設(shè)置其它密碼也可以，完成上述輸入后，直接回車則在你在第二步中定義的位置找到生成的文件。

為客戶端生成證書(shū)

為瀏覽器生成證書(shū)，以便讓服務(wù)器來(lái)驗(yàn)證它。為了能將證書(shū)順利導(dǎo)入至IE和Firefox，證書(shū)格式應(yīng)該是PKCS12，因此，使用如下命令生成：

keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore D:\home\mykey.p12 （mykey為自定義）。

對(duì)應(yīng)的證書(shū)庫(kù)存放在“D:\home\mykey.p12”，客戶端的CN可以是任意值。雙擊mykey.p12文件，即可將證書(shū)導(dǎo)入至瀏覽器（客戶端）。

讓服務(wù)器信任客戶端證書(shū)

由于是雙向SSL認(rèn)證，服務(wù)器必須要信任客戶端證書(shū)，因此，必須把客戶端證書(shū)添加為服務(wù)器的信任認(rèn)證。由于不能直接將PKCS12格式的證書(shū)庫(kù)導(dǎo)入，必須先把客戶端證書(shū)導(dǎo)出為一個(gè)單獨(dú)的CER文件，使用如下命令：

keytool -export -alias mykey -keystore D:\home\mykey.p12 -storetype PKCS12 -storepass password -rfc -file D:\home\mykey.cer?

(mykey為自定義與客戶端定義的mykey要一致，password是你設(shè)置的密碼)。通過(guò)以上命令，客戶端證書(shū)就被我們導(dǎo)出到“D:\home\mykey.cer”文件了。

下一步，是將該文件導(dǎo)入到服務(wù)器的證書(shū)庫(kù)，添加為一個(gè)信任證書(shū)使用命令如下：

? ? ?keytool -import -v -file D:\home\mykey.cer -keystore D:\home\tomcat.keystore

通過(guò)list命令查看服務(wù)器的證書(shū)庫(kù)，可以看到兩個(gè)證書(shū)，一個(gè)是服務(wù)器證書(shū)，一個(gè)是受信任的客戶端證書(shū)：

keytool -list -keystore D:\home\tomcat.keystore (tomcat為你設(shè)置服務(wù)器端的證書(shū)名)。

讓客戶端信任服務(wù)器證書(shū)

由于是雙向SSL認(rèn)證，客戶端也要驗(yàn)證服務(wù)器證書(shū)，因此，必須把服務(wù)器證書(shū)添加到瀏覽的“受信任的根證書(shū)頒發(fā)機(jī)構(gòu)”。由于不能直接將keystore格式的證書(shū)庫(kù)導(dǎo)入，必須先把服務(wù)器證書(shū)導(dǎo)出為一個(gè)單獨(dú)的CER文件，使用如下命令：

keytool -keystore D:\home\tomcat.keystore -export -alias tomcat -file D:\home\tomcat.cer (tomcat為你設(shè)置服務(wù)器端的證書(shū)名)。

通過(guò)以上命令，服務(wù)器證書(shū)就被我們導(dǎo)出到“D:\home\tomcat.cer”文件了。雙擊tomcat.cer文件，按照提示安裝證書(shū)，將證書(shū)填入到“受信任的根證書(shū)頒發(fā)機(jī)構(gòu)”。

配置Tomcat服務(wù)器

打開(kāi)Tomcat根目錄下的/conf/server.xml，找到Connector port="8443"配置段，修改為如下：

?

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"

SSLEnabled="true" maxThreads="150" scheme="https"

secure="true" clientAuth="true" sslProtocol="TLS"

keystoreFile="D:\\home\\tomcat.keystore" keystorePass="123456"

truststoreFile="D:\\home\\tomcat.keystore" truststorePass="123456" />

（tomcat要與生成的服務(wù)端證書(shū)名一致）

屬性說(shuō)明：

?

clientAuth:設(shè)置是否雙向驗(yàn)證，默認(rèn)為false，設(shè)置為true代表雙向驗(yàn)證

keystoreFile:服務(wù)器證書(shū)文件路徑

keystorePass:服務(wù)器證書(shū)密碼

truststoreFile:用來(lái)驗(yàn)證客戶端證書(shū)的根證書(shū)，此例中就是服務(wù)器證書(shū)

truststorePass:根證書(shū)密碼

測(cè)試

在瀏覽器中輸入:https://localhost:8443/，會(huì)彈出選擇客戶端證書(shū)界面，點(diǎn)擊“確定”，會(huì)進(jìn)入tomcat主頁(yè)，地址欄后會(huì)有“鎖”圖標(biāo)，表示本次會(huì)話已經(jīng)通過(guò)HTTPS雙向驗(yàn)證，接下來(lái)的會(huì)話過(guò)程中所傳輸?shù)男畔⒍家呀?jīng)過(guò)SSL信息加密。