使用keytool生成Tomcat证书

一、HTTPS原理

1、HTTP、HTTPS、SSL、TLS介绍与相互关系

（1）HTTP：平时浏览网页时候使用的一种协议。HTTP协议传输的数据都是未加密的（明文），因此使用HTTP协议传输隐私信息非常不安全。

（2）HTTPS：为了保证隐私数据能加密传输，采用SSL/TLS协议用于对HTTP协议传输的数据进行加密，也就是HTTPS。

（3）SSL：SSL（Secure Sockets Layer）协议是由网景公司设计，后被IETF定义在RFC 6101中。目前的版本是3.0。

（4）TLS：TLS可以说是SSL的改进版。是由IETF对SSL 3.0进行了升级而出现的，定义在RFC 2246。实际上我们现在的HTTPS都是用的TLS协议。

2、TLS/SSL特点

（1）HTTPS在传输数据之前需要客户端（浏览器）与服务端（网站）之间进行一次握手，在握手过程中将确立双方加密传输数据的密码信息。

（2）TLS/SSL中使用了非对称加密，对称加密以及HASH算法。

其中非对称加密算法用于在握手过程中加密生成的密码，对称加密算法用于对真正传输的数据进行加密，而HASH算法用于验证数据的完整性。

（3）TLS握手过程中如果有任何错误，都会使加密连接断开，从而阻止了隐私信息的传输。

二、证书的生成

下面演示如何使用 Tomcat 服务器，通过HTTPS进行双向认证。证书的话这里使用 keytool 生成自签名证书。

（注意：如果真正的商用系统建议使用向CA付费购买的证书。因为如果使用自签名证书的话，客户端对服务器的验证其实是抛给用户来判断（用户自己决定信任还是不信任））

1、生成服务器证书

使用keytool为Tomcat生成证书

keytool -genkey -v -alias tomcat -keyalg RSA -keystore G:\tomcat.keystore -validity 36500

（参数说明：“G:\tomcat.keystore”含义是将证书文件的保存路径，证书文件名称是tomcat.keystore；“-validity 36500”含义是证书有效期，36500表示100年，默认值是90天；“tomcat”为自定义证书名称）

 输入密钥库口令：keystore密码（假设使用sourcebyte）

您的名字与姓氏是什么：必须是TOMCAT部署主机的域名或者IP[如：sourcebyte.cn]（就是你将来要在浏览器中输入的访问地址），否则浏览器会弹出警告窗口，提示用户证书与所在域不匹配。在本地做开发测试时，应填入“localhost”。

输入 <tomcat> 的密钥口令：直接回车

2、生成客户端证书

为浏览器生成证书，以便让服务器来验证它。为了能将证书顺利导入至IE和Firefox，证书格式应该是PKCS12，因此，使用如下命令生成：

keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore G:\mykey.p12

3、让服务器信任客户端证书

服务器要信任客户端证书，必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入，必须先把客户端证书导出为一个单独的CER文件，使用如下命令：

keytool -keystore G:\tomcat.keystore -export -alias tomcat -file G:\tomcat.cer

三、证书的使用

打开Tomcat根目录下的/conf/server.xml，找到Connector port="8443"配置段，修改为如下：

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
    SSLEnabled="true" maxThreads="150" scheme="https"
    secure="true" clientAuth="true" sslProtocol="TLS"
    keystoreFile="G:\\tomcat.keystore" keystorePass="sourcebyte"/>

但由于是自签名的证书，所以浏览器会警告我们不安全，选择继续好了。由于是自签名的证书，为避免每次都提示不安全。这里双击tomcat.cer安装服务器证书。将证书填入到“受信任的根证书颁发机构”。再次重新访问服务器，会发现没有不安全的提示了，同时浏览器地址栏上也有个“锁”图标，表示本次会话已经通过HTTPS双向验证。