tomcat配置https单向认证笔记

说明：

tomcat使用https是为了保证隐私数据能够加密传输，不被别人截取破解传输信息。

https认证过程涉及到对称加密与非对称加密，多次握手，相对于http协议是比较费时的。

关于一些详细的背景概念，https认证过程资料：点击这里

以下是配置步骤笔记，都是经过亲手实践的。

步骤：

1、安装JDK

配置JAVA_HOME，或者定位到jdk_path/bin里面。

2、为服务器生成证书

keytool -genkey -keyalg RSA -dname "cn=127.0.0.1,ou=xxx,o=xxx,l=GZ,st=GD,c=CN" -alias server -keypass 123456 -keystore F://key//server.keystore -storepass 123456 -validity 36

注：cn=127.0.0.1配置的是服务器IP

3、生成csr证书请求文件（内网这步可以忽略）

说明：生成csr文件用于提交CA认证生成证书使用。
附：证书请求文件，也就是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件，证书申请者只要把CSR文件提交给证书颁发机构后，证书颁发机构使用其根证书私钥签名就生成了证书公钥文件，也就是颁发给用户的证书。

keytool -certReq -alias server -keystore F://key//server.keystore -file F://key//ca.csr

4、生成cer证书文件

说明：这个ca.cer是为了解决不信任时要导入的

keytool -export -alias server -keystore F://key//server.keystore -file F://key//ca.cer -storepass 123456

5、修改tomcat配置文件server.xml

6、配置项目哪些web接口使用https协议

修改工程总的web.xml文件，添加下面代码

  
  
        
            securedapp
            /api/* 
        
        
            CONFIDENTIAL
        
    

7、解决不信任问题

启动tomcat，输入https://127.0.0.1:8443/xxx/api/xxx  (不能使用localhost)
这时提示框显示：服务器的证书不受信任。在浏览器内显示以下提示：
此服务器无法证明它是127.0.0.1；您计算机的操作系统不信任其安全证书。出现此问题的原因可能是配置有误或您的连接被拦截了。
选择“继续前往（不安全）”，也能访问，但是此时就是以普通的HTTP方式进行信息传输了。
导入第4步生成的ca.cer文件

重启浏览器，重新输入地址，访问成功