1.生成服务器端证书
keytool -genkey -keyalg RSA -dname "cn=localhost,ou=sango,o=none,l=china,st=beijing,c=cn" -alias server -keypass password -keystore server.jks -storepass password -validity 3650
cn=localhost根据部署的域名确定
-alias server 证书名称
-keypass password证书密码
-keystore server.jks 证书存放文件名称
-storepass password 文件的密码
-validity 3650 有效时间(单位:天)
2、生成客户端证书
keytool -genkey -keyalg RSA -dname "cn=sango,ou=sango,o=none,l=china,st=beijing,c=cn" -alias custom -storetype PKCS12 -keypass password -keystore custom.p12 -storepass password -validity 3650
-alias custom证书名称
-storetype PKCS12证书类型
-keypass password 证书密码
-keystore custom.p12证书存放文件名
-storepass password证书文件密码
-validity 3650 有效时间(单位:天)
3.为服务器生成信任证书文件
首先把客户端证书导出为一个cer文件
keytool -export -alias custom -file custom.cer -keystore custom.p12 -storepass password -storetype PKCS12 -rfc
-alias 客户端证书别名,和生成时的别名对应
-file custom.cer 导出的cer文件名称
-keystore custom.p12客户端证书文件路径
-storepass password 客户端证书访问密码
然后把生成的cet文件导入到一个信任的文件中
keytool -import -v -alias custom -file custom.cer -keystore truststore.jks -storepass password
-alias custom导入到信任文件的证书别名,任意值
-file custom.cer客户端的cet文件路径
-keystore truststore.jks信任的文件存放路径,如果不存在则会生成一个新的文件,否则添加到已有的文件中
-storepass password 信任文件的密码
4.修改tomcat配置文件server.xml
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="true" sslProtocol="TLS" keystoreFile="D:/server.jks" keystorePass="password" truststoreFile="D:/truststore.jks" truststorePass="password" />5.导入客户端证书custom.p12到浏览器,可双击文件导入
注意:需要导出到个人的标签下,其他的标签下无效
参考地址:http://ss3ex.iteye.com/blog/607674