标签：

配置https安全连接(ssl加密连接)

https连接需要用到数字证书与数字签名(MD5算法)，网站https连接首先需要申请数字证书，配置加密连接器，浏览器安装证书。

证书运用到RSA技术，RSA加密算法是一种非对称加密算法，服务器保留私钥，对外公开公钥（cer证书）。

Tomcat秘钥库类型为JKS(Java Key Storage)，很容易知道这是 JAVA 的专属格式，利用 JAVA 的一个叫 keytool 的工具可以进行格式转换。一般用于 Tomcat 服务器。

单向认证 生成服务端秘钥库

使用java的工具keytool产生数字证书，tomcat.keystore可以写在需要生成的路径。tomcat.keystore存储服务端证书私钥。

keytool -genkeypair -alias "tomcat" -keyalg "RSA" -keystore "tomcat.keystore" //生成秘钥库,并生成别名为tomcat的私钥(条目类型PrivateKeyEntry)

参数说明：

-genkeypair：生成一对非对称密钥; -alias：指定密钥对的别名，该别名是公开的; -keyalg：指定加密算法，本例中的采用通用的RAS加密算法; -keystore:密钥库的路径及名称，，不指定的话，默认在操作系统的用户目录下生成一个".keystore"的文件

中间根据提示设置密码，生成文件.keystore。生成的这个

注意:

　　1.密钥库的密码至少必须6个字符，可以是纯数字或者字母或者数字和字母的组合等等

　　2."名字与姓氏（CN）"应该是输入域名，而不是我们的个人姓名，本机可用localhost，其他的可以不填

将文件.keystore放到Tomcat服务器的conf目录下（不移动也可以，在xml中配置时写指定路径即可）
cp tomcat.keystore /usr/local/tomcat/server/conf/

根据秘钥库生成证书

这里根据keystore中服务端证书的私钥生成cer的服务端公钥cer证书。

keytool -export -alias tomcat -keystore tomcat.keystore -rfc -file tomcatserver.cer //根据keystore秘钥库中别名为tomcat的条目（私钥），生成cer证书（公钥）

参数说明：

-alias tomcat //要处理的条目的别名(秘钥库中的条目) -keystore tomcat.keystore //密钥库名称,为刚才导出的秘钥库 -rfc //以 RFC 样式输出 -file tomcatserver.cer //输出文件名

在客户端安装tomcatserver.cer即可实现单向认证，server.xml配置如下

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="conf/tomcat.keystore" keystorePass="秘钥库密码"/>

其他常用命令 导入其他的证书到密钥库

导入后条目类型为trustedCertEntry，配置文件要配置truststoreFile。这个一般用于客户端证书（公钥）的导入。

只是导入了cer证书的私钥，不含有公钥，要再根据秘钥库中导入的证书alias执行export操作。

keytool -import -file tomcatclient.cer -storepass  -keystore tomcat.keystore -alias aeolian

参数说明：

-file tomcat-client2.cer //必须，证书文件名称 -keystore tomcat.keystore //必须，密钥库名称，创建服务端秘钥库的文件 -alias tomcat-client2 //推荐写，要导入的证书别名(决定此证书导入到秘钥库中的别名),不写默认为mykey，再次导入会提示别名mykey已存在 -storepass //不推荐写，密钥库密码。回车后会提示你输入秘钥库密码

在密钥库中删除条目

这里一般也是删除受信任的客户端证书的公钥

keytool -delete -keystore tomcat.keystore -alias mykey //删除秘钥库中别名为mykey的条目

修改秘钥库中证书条目的口令

keytool -keypasswd -keystore tomcat.keystore -alias mykey //更改别名为mykey条目的密码,需要输入秘钥库密码

查看秘钥库内容

keytool -list -v -keystore tomcat.keystore //要输入秘钥库密码

查看证书内容

keytool -printcert -file tomcatclient.cer

双向认证