linux tomcat 配置https（SSL）

1.进入到linux目录下

/usr/local/tomcat7/conf/

2.生成证书

keytool -genkey -alias tomcat -keyalg RSA -keystore /usr/local/tomcat7/conf/.keystore

cat conf/.keystore 

keytool -genkey：自动使用默认的算法生成公钥和私钥

-alias[名称]：给证书取个别名

-keyalg：制定密钥的算法，如果需要制定密钥的长度，可以再加上keysize参数，密钥长度默认为1024位，使用DSA算法时，密钥长度必须在512到1024之间，并且是64的整数倍

-keystore：参数可以指定密钥库的名称。密钥库其实是存放迷药和证书文件，密钥库对应的文件如果不存在会自动创建。

-validity：证书的有效日期，默认是90天

-keypass changeit：不添加证书密码

-storepass changeit：不添加存储证书的密码

3.配置tomcat/conf/目录下的server.xml

4.重启tomcat

5.浏览器访问https

问题解决：

在两个不同的机器上，使用相同的.keystore，配置也相同，但是其中一个机器不知道为何总是访问不了https

检查步骤：

1.用wget连本地

2.用wget连外网

3.用lsof -i:8443检查端口的监听状态

4.用/etc/init.d/iptables status检查防火墙状态

5.发现问题：没有进行端口的转发，执行以下命令即可

iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 8443

6.解决ie访问不了的问题

clientAuth="false" sslProtocol="TLS"  
           ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA"