使用Keytool工具生成证书及签名完整步骤
- 创建证书库(keystore)及证书(Certificate)
2.生成证书签名请求(CSR)
3.将已签名的证书导入证书库
第一步:使用JDK自带工具KeyTool 生成自签发证书!
为服务器生成证书:
CMD命令如下:
keytool
-genkey
-alias tomcat(别名)
-keypass 123456(别名密码)
-keyalg RSA(算法)
-keysize 1024(密钥长度)
-validity 365(有效期,天单位)
-keystore D:/keys/tomcat.keystore(指定生成证书的位置和证书名称)
-storepass 123456(获取keystore信息的密码)
keytool -genkey -alias tomcat -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -keystore D:/keys/tomcat.keystore -storepass 123456
解释:tomcat:别名
123456(别名密码)
RSA(算法)
1024(密钥长度)
365(有效期,天单位)
D:/https/key/tomcat.keystore(指定生成证书的位置和证书名称)
123456(获取keystore信息的密码)
注意:①D:/https/ key目录需要提前手动创建好,否则会生成失败
图例:
第二步:为客户端生成证书
为浏览器生成证书,以便让服务器来验证它。
因此,使用如下命令生成:
keytool
-genkey
-alias client (别名)
-keypass 123456(别名密码)
-keyalg RSA (算法)
-storetype PKCS12
-keypass 123456
-storepass 123456
-keystore D:/keys/client.p12
方便复制版:
keytool -genkey -alias client -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -storetype PKCS12 -keystore D:/https/key/client.p12 -storepass 123456
第二步余下操作步骤同第一步。
注意:上面两个证书的格式不一样。
第三步:让服务器信任客户端证书
1、
由于不能直接将PKCS12格式的证书库导入,
必须先把客户端证书导出为一个单独的CER文件,使用如下命令:
keytool -export -alias client -keystore D:/https/key/client.p12 -storetype PKCS12 -keypass 123456 -file D:/https/key/client.cer
图例:
注意:
Keypass:指定CER文件的密码,但会被忽略,而要求重新输入
2、
将该文件导入到服务器的证书库,添加为一个信任证书:
keytool -import -v -file D:/https/key/client.cer -keystore D:/https/key/tomcat.keystore -storepass 123456
图例: 完成之后通过list命令查看服务器的证书库,
可以看到两个证书,一个是服务器证书,一个是受信任的客户端证书:
keytool -list -v -keystore D:/keys/tomcat.keystore
图例:
第四步:让客户端信任服务器证书(和以上类似,注意但不同)
1、
由于是双向SSL认证,客户端也要验证服务器证书,
因此,必须把服务器证书添加到浏览器的“受信任的根证书颁发机构”。
由于不能直接将keystore格式的证书库导入,
必须先把服务器证书导出为一个单独的CER文件,使用如下命令:
keytool -keystore D:/https/key/tomcat.keystore -export -alias tomcat -file D:/https/key/server.cer
注意:此处的别名tomcat必须和格式转换前的别名一样。
2、
双击server.cer文件,按照提示安装证书,
将证书填入到“受信任的根证书颁发机构”。
填入方法:
打开浏览器 - 工具 - internet选项-内容- 证书-导入 就OK了。
第五步:配置Tomcat服务器
<Connector port=“8443”
protocol=“org.apache.coyote.http11.Http11NioProtocol” SSLEnabled=“true”
maxThreads=“150”
scheme=“https”
secure=“true”
clientAuth=“true”
sslProtocol=“TLS”
keystoreFile=“D:/keys/tomcat.keystore”
keystorePass=“123456”
truststoreFile=“D:/keys/tomcat.keystore”
truststorePass=“123456” />
属性说明:
clientAuth:设置是否双向验证,默认为false,设置为true代表双向验证
keystoreFile:服务器证书文件路径
keystorePass:服务器证书密码
truststoreFile:用来验证客户端证书的根证书,此例中就是服务器证书
truststorePass:根证书密码
注意:
① 设置clientAuth属性为True时,需要手动导入客户端证书才能访问。
② 要访问https请求 需要访问8443端口,访问http请求则访问Tomcat默认端口(你自己设置的端口,默认8080)即可。
上图两个都配置了,http和https都能访问