1.找到jdk安装目录,运行控制台,切换到该目录;
2.使用keytool为tomcat生成证书;
keytool -genkey -v -alias tomcat -keyalg RSA -keystore tomcat.keystore -validity 36500
3.为客户端生成证书;
keytool -genkey -v -alias huawei -keyalg RSA -storetype PKCS12 -keystore huaweitest.p12 -validity 36500
4.将huaweitest.p12导入到tomcat的信任证书链中
keytool-export -alias huawei -keystore huaweitest.p12 -storetype PKCS12 -rfc -filehuaweitest.cer
keytool-import -alias huawei -v -file huaweitest.cer -keystore tomcat.keystore
5.从tomcat的证书链里导出跟证书
keytool-export -v -alias tomcat -file CA.cer-keystore tomcat.keystore
6.将华为的outgoing.Cert.pem导入tomcat的信任证书链
keytool -import -v -file outgoing.Cert.pem -alias huawei -keystore tomcat.keystore
7.将华为的ca.pem导入tomcat的信任证书链
keytool -import -v -file ca.pem -alias huawei_ca -keystore tomcat.keystore
8.配置tomcat
双向认证:
Connector port=28443
protocol=org.apache.coyote.http11.Http11NioProtocol
scheme=https secure=true
keystoreFile=conf/keys/tomcat.keystore keystorePass=123$%^
truststoreFile=conf/keys/tomcat.keystore truststorePass=123$%^
clientAuth=true sslProtocol=TLS
maxThreads=150 SSLEnabled=true
单向认证:
Connector port=28443
protocol=org.apache.coyote.http11.Http11NioProtocol
scheme=https secure=true
keystoreFile=conf/keys/tomcat.keystore keystorePass=123$%^
clientAuth=false sslProtocol=TLS
maxThreads=150 SSLEnabled=true
9.配置完后,可以在本地验证配置是否成功。
在服务器上进行格式转换成pem格式
openssl x509 -inform der -in CA.cer -out ca.pem
通过以下命令模拟与应用服务器建链
单向认证模拟建链:
openssl s_client -connect ip:port -tls1 -CAfile ca.pem
双向认证模拟建链:
openssl s_client -connect ip:port -cert huaweitest.pem -CAfile CA.pem -tls1
10.将生成的huaweitest.p12和CA.cer证书发给华为接口人。
取消
评论