tomcat6配置双向认证

1 、生成服务器端证书  
  
  
  
keytool -genkey -keyalg RSA -dname "cn=localhost,ou= none ,o=none,l=china,st= none ,c=cn"  -alias server -keypass password -keystore server.jks -storepass password -validity  3650   
  
2 、生成客户端证书  
  
  
  
keytool -genkey -keyalg RSA -dname "cn= none ,ou= none ,o=none,l=china,st= none ,c=cn"  -alias custom -storetype PKCS12 -keypass password -keystore custom.p12 -storepass password -validity  3650   
  
客户端的CN可以是任意值。   
3 、由于是双向SSL认证，服务器必须要信任客户端证书，因此，必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入，我们必须先把客户端证书导出为一个单独的CER文件，使用如下命令，先把客户端证书导出为一个单独的cer文件：  
  
  
  
keytool -export -alias custom -file custom.cer -keystore custom.p12 -storepass password -storetype PKCS12 -rfc  
  
然后，添加客户端证书到服务器中（将已签名数字证书导入密钥库）  
  
  
  
keytool -import  -v -alias custom -file custom.cer -keystore server.jks -storepass password  
  
4 、查看证书内容  
  
  
  
keytool -list -v -keystore server.jks -storepass password  
  
5 、配置tomcat service.xml文件  
  
  
  
<Connector port="8443"  protocol= "HTTP/1.1"  SSLEnabled= "true"   
    maxThreads="150"  scheme= "https"  secure= "true"   
    clientAuth="true"  sslProtocol= "TLS"   
    keystoreFile="D:/server.jks"  keystorePass= "password"   
    truststoreFile="D:/server.jks"  truststorePass= "password"   
/>  
  
clientAuth="true" 表示双向认证   
6 、导入客户端证书到浏览器   
双向认证需要强制验证客户端证书。双击“custom.p12”即可将证书导入至IE