Tomcat配置自签名https

从JDK中找到keytool.exe，随便复制到一个方便的目录，在命令行中进入这个目录。

第一步：为服务器生成证书 tomcat.keystore，名字就是域名，其他的看着写。

keytool -genkey -v -alias tomcat -keyalg RSA -validity 36500 -keystore tomcat.keystore

第二步：为客户端生成证书，双向认证时需要客户端安装该证书，等待第四步成功后将该证书添加到“个人”区域。

keytool -genkey -v -alias clientkey -keyalg RSA -validity 36500 -storetype PKCS12 -keystore client.p12

第三步：将p12文件导出为一个cer文件，因为不能直接将PKCS12格式的证书库导入服务端证书（tomcat.keystore）。123456为密码

keytool -export -alias mykey -keystore client.p12 -storetype PKCS12 -storepass 123456 -rfc -file client.cer

第四步：让服务器信任客户端证书。

keytool -import -v -file client.cer -keystore tomcat.keystore

第五步：查看服务器的证书库。（一个是服务器证书，一个是受信任的客户端证书），可以省略。

keytool -list -keystore tomcat.keystore

第六步：把服务器证书导出为cer文件，然后将该证书添加到“受信任的根证书颁发机构”区域。

keytool -keystore tomcat.keystore -export -alias tomcat -file server.cer

操作完成，在tomcat的server.xml中配置方法如下: 单向认证时需将clientAuth="false"，双向时设置为clientAuth="true"，https的默认端口为443，所以port="443"，当然也可以设置为其他的。

<Connector port="443"protocol="HTTP/1.1"SSLEnabled="true"maxThreads="150"URIEncoding="utf-8"scheme="https"secure="true"clientAuth="true"sslProtocol="TLS"keystoreFile="c:/keystore/tomcat.keystore"keystorePass="123456"truststoreFile="c:/keystore/tomcat.keystore"truststorePass="123456"/>

注意：

将 server.cer 导入到浏览器“受信任的根证书颁发机构”区域，这样是为了让浏览器信任服务器。

将 client.p12 导入到浏览器“个人”区域，这样是为了让服务器信任浏览器，访问时会提示选择这个证书。

另外还可以通过openssl来生成相关证书，还有在iis上的配置等，稍后奉上。

有图有真相