java web https安全传输配置

1.生成秘钥
SUN公司提供了制作证书的工具keytool。在JDK 1.4以后的版本中都包含了这一工具，它的位置为

\bin\keytool.exe

（1）创建证书

keytool -genkeypair -alias "test1" -keyalg "RSA" -keystore "test.keystore"  

（2）查看证书库

keytool -list -keystore test.keystore

（3）导出到证书文件

keytool -export -alias test1 -file test.crt -keystore test.keystore 

说明：将名为test.keystore的证书库中别名为test1的证书条目导出到证书文件test.crt中

2.tomcat服务配置

（1）配置Tomcat，打开$CATALINA_HOME/conf/server.xml，修改如下，

修改为：

其中：keystoreFile：秘钥库文件路径；keystorePass：秘钥库密码

(2) 打开$CATALINA_HOME/conf/web.xml，在该文件末尾增加：

 
    
          SSL 
          /* 
           
    
          CONFIDENTIAL 
    

3、上述配置完成后，重启TOMCAT后即可以使用SSL。IE地址栏中可以直接输入地址不必输入“http://” 或者 “https://” ；也可以输入 “http:// ” 会跳转成为 “https://” 来登录
4、注意事项：
（1） 生成证书的时间，如果IE客户端所在机器的时间早于证书生效时间，或者晚于有效时间，IE会提示“该安全证书已到期或还未生效”
（2） 如果IE提示“安全证书上的名称无效或者与站点名称不匹配”，则是由生成证书时填写的服务器所在主机的域名“您的名字与姓氏是什么？”/“What is your first and last name?”不正确引起的
5、遗留问题：
（1）如果AC主机不能通过域名查找，必须使用IP，但是这个IP只有在配置后才能确定，这样证书就必须在AC确定IP地址后才能生成
（2）证书文件只能绑定一个IP地址，假设有10.1.25.250 和 192.168.1.250 两个IP地址，在证书生成文件时，如使用了10.1.25.250，通过IE就只能使用10.1.25.250 来访问AC-WEB，192.168.1.250是无法访问AC-WEB的。