参考内容:
http://www.jianshu.com/p/045f95c008a0
http://www.cnblogs.com/Persue-A-Good-Life/p/4040988.html
yum install -y zlib
mkdir /tmp/myca
cd /tmp/myca
1. 创建根证书密钥文件(自己做CA) root.key
openssl genrsa -des3 -out root.key 2048
输入两次密码,记好密码内容。
2. 创建根证书的申请文件 root.csr
openssl req -new -key root.key -out root.csr
输入第一步的密码
3. 创建一个自当前日期起为期一百年的根证书 root.crt
openssl x509 -req -days 36500 -sha256 -extfile /etc/pki/tls/openssl.cnf -extensions v3_ca -signkey root.key -in root.csr -out root.crt
openssl genrsa -des3 -out server.key 2048
openssl req -new -key server.key -out server.csr
openssl x509 -req -days 36500 -sha256 -extfile /etc/pki/tls/openssl.cnf -extensions v3_req -CA root.crt -CAkey root.key -CAcreateserial -in server.csr -out server.crt
openssl genrsa -des3 -out client.key 2048
openssl req -new -key client.key -out client.csr
openssl x509 -req -days 36500 -sha256 -extfile /etc/pki/tls/openssl.cnf -extensions v3_req -CA root.crt -CAkey root.key -CAcreateserial -in client.csr -out client.crt
openssl pkcs12 -export -in /tmp/myca/client.crt -inkey /tmp/myca/client.key -out /tmp/myca/client.p12 -name "client"
http://www.jianshu.com/p/045f95c008a0
http://www.cnblogs.com/Persue-A-Good-Life/p/4040988.html
yum install -y zlib
mkdir /tmp/myca
cd /tmp/myca
1. 创建根证书密钥文件(自己做CA) root.key
openssl genrsa -des3 -out root.key 2048
输入两次密码,记好密码内容。
2. 创建根证书的申请文件 root.csr
openssl req -new -key root.key -out root.csr
输入第一步的密码
3. 创建一个自当前日期起为期一百年的根证书 root.crt
openssl x509 -req -days 36500 -sha256 -extfile /etc/pki/tls/openssl.cnf -extensions v3_ca -signkey root.key -in root.csr -out root.crt
openssl genrsa -des3 -out server.key 2048
openssl req -new -key server.key -out server.csr
openssl x509 -req -days 36500 -sha256 -extfile /etc/pki/tls/openssl.cnf -extensions v3_req -CA root.crt -CAkey root.key -CAcreateserial -in server.csr -out server.crt
openssl pkcs12 -export -in /tmp/myca/server.crt -inkey /tmp/myca/server.key -out /tmp/myca/server.p12 -name "server"
注意这里面的密码123456789应该改为自己的密码
keytool -importkeystore -v -srckeystore /tmp/myca/server.p12 -srcstoretype pkcs12 -srcstorepass 123456789 -destkeystore /tmp/myca/server.keystore -deststoretype jks -deststorepass 12356789openssl genrsa -des3 -out client.key 2048
openssl req -new -key client.key -out client.csr
openssl x509 -req -days 36500 -sha256 -extfile /etc/pki/tls/openssl.cnf -extensions v3_req -CA root.crt -CAkey root.key -CAcreateserial -in client.csr -out client.crt
openssl pkcs12 -export -in /tmp/myca/client.crt -inkey /tmp/myca/client.key -out /tmp/myca/client.p12 -name "client"
下面这两行是给iis用的
openssl req -new -x509 -key root.key -out website.cer -days 36500 -subj /CN=www.xxx.comopenssl pkcs12 -export -out website.pfx -inkey root.key -in website.cer
然后修改tomcat的server.xml文件,增加以下内容
<Connector executor="tomcatThreadPoolHttps" port="8443"
redirctPort="6064" protocol="org.apache.coyote.http11.Http11NioProtocol"
SSLEnabled="true" maxHttpHeaderSize="8192" acceptCount="1000"
enableLookups="false" scheme="https" secure="true" keystoreFile="${catalina.base}/conf/server.keystore"
keystorePass="你的密码"
clientAuth="false" sslProtocol="TLSv1.2" />