1、生成服务器证书:
CMD进入JDK安装目录:cd c:/"Program Files"/java/jdk1.6.0_43/bin。输入命令:
keytool -genkey -v -alias tomcat -keyalg RSA -keystore F:/ssl/tomcat.keystore -validity 365
(参数说明:genkey生成方式,对称或者非对称。alias定义别名。F:/ssl/tomcat.keystore指定生成服务器证书库路径。validity证书有效期,365为一年)
注:以上的keystore密码建议设置成一致,避免混乱。这里设置测试密码为123456。输入密码后,提示输入名字与姓氏,这里输入浏览器访问域名。这里本地测试,故输入localhost。其他项直接回车跳过即可。
2、生成客户端证书:
keytool -genkey -v -alias clientkey -keyalg RSA -storetype PKCS12 -keystore F:/ssl/clientkey.p12
3、这里服务端跟客户端生成完证书,双向需要认证。首先,让服务器信任客户端证书:
由于不能直接将PKCS12格式的证书库导入,所以必须先把客户端证书导出为一个单独的CER文件。
keytool -export -alias clientkey -keystore F:/ssl/clientkey.p12 -storetype PKCS12 -storepass 123456 -rfc -file F:/ssl/clientkey.cer
注:alias的别名clientkey必须与客户端证书别名一致。storepass为上述设置的密码。
4、将客户端证书导入服务器证书库。(服务器信任客户端证书)
keytool -import -v -file f:/ssl/clientkey.cer -keystore f:/ssl/tomcat.keystore
5、客户端信任服务器证书:
keytool -keystore f:/ssl/tomcat.keystore -export -alias tomcat -file f:/ssl/tomcat.cer
导入后,本地安装证书。双击tomcat.cer根据提示安装。
6、配置tomcat种server.xml种8443端口。观察tomcat中端口配置:
<Connector executor="tomcatThreadPool" port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443"/>
这里有配置redirectPort="8443" 。猜测这里如果添加了SSL/TLS证书后,利用http协议8080端口访问将自动重定向到8443端口。所以这里修改8443为TLS认证协议:
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="F:/ssl/tomcat.keystore" keystorePass="123456"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_
CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_C
BC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RS
A_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA"
/>
参数说明:keystoreFile证书路径。keystorePass设置证书密码。ciphers设置这个参数,避免chrome浏览器由于安全机制过滤,提示“
服务器的瞬时 Diffie-Hellman 公共密钥过弱”。
<!-- Authorization setting for SSL -->
<auth-method>CLIENT-CERT</auth-method>
<realm-name>Client Cert Users-only Area</realm-name>
</login-config>
<security-constraint>
<!-- Authorization setting for SSL -->
<web-resource-collection>
<web-resource-name>SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>