為服務器生成證書

“運行”控制臺，進入%JAVA_HOME%/bin目錄，使用如下命令進入目錄：

cd “c:\Program Files\Java\jdk1.6.0_11\bin”?

使用keytool為Tomcat生成證書，假定目標機器的域名是“localhost”，keystore文件存放在“D:\home\tomcat.keystore”，口令為“password”，使用如下命令生成：

keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\home\tomcat.keystore -validity 36500 (參數簡要說明：“D:\home\tomcat.keystore”含義是將證書文件的保存路徑，證書文件名稱是tomcat.keystore ；“-validity 36500”含義是證書有效期，36500表示100年，默認值是90天 “tomcat”為自定義證書名稱)。

?

在命令行填寫必要參數：

A、 輸入keystore密碼：此處需要輸入大于6個字符的字符串。

B、 “您的名字與姓氏是什么？”這是必填項，并且必須是TOMCAT部署主機的域名或者IP[如：gbcom.com 或者 10.1.25.251]（就是你將來要在瀏覽器中輸入的訪問地址），否則瀏覽器會彈出警告窗口，提示用戶證書與所在域不匹配。在本地做開發測試時，應填入“localhost”。

C、 你的組織單位名稱是什么？”、“您的組織名稱是什么？”、“您所在城市或區域名稱是什么？”、“您所在的州或者省份名稱是什么？”、“該單位的兩字母國家代碼是什么？”可以按照需要填寫也可以不填寫直接回車，在系統詢問“正確嗎？”時，對照輸入信息，如果符合要求則使用鍵盤輸入字母“y”，否則輸入“n”重新填寫上面的信息。

D、 輸入<tomcat>的主密碼，這項較為重要，會在tomcat配置文件中使用，建議輸入與keystore的密碼一致，設置其它密碼也可以，完成上述輸入后，直接回車則在你在第二步中定義的位置找到生成的文件。

為客戶端生成證書

為瀏覽器生成證書，以便讓服務器來驗證它。為了能將證書順利導入至IE和Firefox，證書格式應該是PKCS12，因此，使用如下命令生成：

keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore D:\home\mykey.p12 （mykey為自定義）。

對應的證書庫存放在“D:\home\mykey.p12”，客戶端的CN可以是任意值。雙擊mykey.p12文件，即可將證書導入至瀏覽器（客戶端）。

讓服務器信任客戶端證書

由于是雙向SSL認證，服務器必須要信任客戶端證書，因此，必須把客戶端證書添加為服務器的信任認證。由于不能直接將PKCS12格式的證書庫導入，必須先把客戶端證書導出為一個單獨的CER文件，使用如下命令：

keytool -export -alias mykey -keystore D:\home\mykey.p12 -storetype PKCS12 -storepass password -rfc -file D:\home\mykey.cer?

(mykey為自定義與客戶端定義的mykey要一致，password是你設置的密碼)。通過以上命令，客戶端證書就被我們導出到“D:\home\mykey.cer”文件了。

下一步，是將該文件導入到服務器的證書庫，添加為一個信任證書使用命令如下：

? ? ?keytool -import -v -file D:\home\mykey.cer -keystore D:\home\tomcat.keystore

通過list命令查看服務器的證書庫，可以看到兩個證書，一個是服務器證書，一個是受信任的客戶端證書：

keytool -list -keystore D:\home\tomcat.keystore (tomcat為你設置服務器端的證書名)。

讓客戶端信任服務器證書

由于是雙向SSL認證，客戶端也要驗證服務器證書，因此，必須把服務器證書添加到瀏覽的“受信任的根證書頒發機構”。由于不能直接將keystore格式的證書庫導入，必須先把服務器證書導出為一個單獨的CER文件，使用如下命令：

keytool -keystore D:\home\tomcat.keystore -export -alias tomcat -file D:\home\tomcat.cer (tomcat為你設置服務器端的證書名)。

通過以上命令，服務器證書就被我們導出到“D:\home\tomcat.cer”文件了。雙擊tomcat.cer文件，按照提示安裝證書，將證書填入到“受信任的根證書頒發機構”。

配置Tomcat服務器

打開Tomcat根目錄下的/conf/server.xml，找到Connector port="8443"配置段，修改為如下：

?

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"

SSLEnabled="true" maxThreads="150" scheme="https"

secure="true" clientAuth="true" sslProtocol="TLS"

keystoreFile="D:\\home\\tomcat.keystore" keystorePass="123456"

truststoreFile="D:\\home\\tomcat.keystore" truststorePass="123456" />

（tomcat要與生成的服務端證書名一致）

屬性說明：

?

clientAuth:設置是否雙向驗證，默認為false，設置為true代表雙向驗證

keystoreFile:服務器證書文件路徑

keystorePass:服務器證書密碼

truststoreFile:用來驗證客戶端證書的根證書，此例中就是服務器證書

truststorePass:根證書密碼

測試

在瀏覽器中輸入:https://localhost:8443/，會彈出選擇客戶端證書界面，點擊“確定”，會進入tomcat主頁，地址欄后會有“鎖”圖標，表示本次會話已經通過HTTPS雙向驗證，接下來的會話過程中所傳輸的信息都已經過SSL信息加密。