tomcat6的https双向认证

1.生成服务器端证书

keytool -genkey -keyalg RSA -dname "cn=localhost,ou=sango,o=none,l=china,st=beijing,c=cn" -alias server -keypass password -keystore server.jks -storepass password -validity 3650

cn=localhost根据部署的域名确定

-alias server 证书名称

-keypass password证书密码

-keystore server.jks 证书存放文件名称

-storepass password  文件的密码  

-validity 3650 有效时间（单位：天）

 

2、生成客户端证书

keytool -genkey -keyalg RSA -dname "cn=sango,ou=sango,o=none,l=china,st=beijing,c=cn" -alias custom -storetype PKCS12 -keypass password -keystore custom.p12 -storepass password -validity 3650 

 -alias custom证书名称

-storetype PKCS12证书类型

-keypass password 证书密码

-keystore custom.p12证书存放文件名

-storepass password证书文件密码

-validity 3650 有效时间（单位：天）

 

3.为服务器生成信任证书文件

首先把客户端证书导出为一个cer文件

keytool -export -alias custom -file custom.cer -keystore custom.p12 -storepass password -storetype PKCS12 -rfc 

 -alias 客户端证书别名，和生成时的别名对应  

-file custom.cer 导出的cer文件名称  

-keystore custom.p12客户端证书文件路径

-storepass password 客户端证书访问密码

 

然后把生成的cet文件导入到一个信任的文件中

keytool -import -v -alias custom -file custom.cer -keystore truststore.jks -storepass password 

 -alias custom导入到信任文件的证书别名，任意值  

-file custom.cer客户端的cet文件路径  

-keystore truststore.jks信任的文件存放路径，如果不存在则会生成一个新的文件，否则添加到已有的文件中  

-storepass password  信任文件的密码

 

4.修改tomcat配置文件server.xml

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"  
    maxThreads="150" scheme="https" secure="true"  
    clientAuth="true" sslProtocol="TLS"  
    keystoreFile="D:/server.jks" keystorePass="password"  
    truststoreFile="D:/truststore.jks" truststorePass="password"  
/> 

 5.导入客户端证书custom.p12到浏览器，可双击文件导入

注意：需要导出到个人的标签下，其他的标签下无效

 

参考地址：http://ss3ex.iteye.com/blog/607674