tomcat 配置https雙向驗證

用文本來記錄一下配置https的流程吧，免得下次在來配置時再來為難我這少的可憐的記憶力呢。首先我們是需要用到jdk自帶的工具 "keytool" 來生成證書，證書分為客戶端證書和伺服器證書，如果是單項驗證，用 keytool 生成乙個伺服器證書即可。下文將會講解他們各自的特點和用法。

生成服務證書:

keytool -genkey -v -alias tomcat -keyalg rsa -keystore d:\home\tomcat.keystore -validity 36500

,這條語句會在d:\home路徑生成乙個伺服器的證書。

我們要配置雙向驗證，所以也要生成客戶端證書 :

keytool -genkey -v -alias mykey -keyalg rsa -storetype pkcs12 -keystore d:\home\mykey.p12

,這樣的命令會在 d:\home 生成乙個客戶端證書，我在客戶端將客戶端證書匯入到「個人」。

我雖然生成證書，但還沒有讓client和server 互相信任。

讓伺服器信任客戶端,先把.p12的格式轉化成.cer格式:

keytool -export -alias mykey -keystore d:\home\mykey.p12 -storetype pkcs12 -storepass 證書的密碼 -rfc -file d:\home\mykey.cer

再將客戶端證書匯入到伺服器可信耐：

keytool -import -v -file d:\home\mykey.cer -keystore d:\home\tomcat.keystore

讓客戶端信任伺服器端證書，首先我們需要把生成的伺服器端證書轉化成客戶端可以匯入的格式:

keytool -keystore d:\home\tomcat.keystore -export -alias tomcat -file d:\home\tomcat.cer

次命名將tomcat.keystore 匯出為.cer格式，將.cer的格式匯入客戶端即可。

到此，證書的生成完成。該配置tomcat的咯：

屬性簡要說明:

clientauth:設定是否雙向驗證

keystorefile:伺服器證書檔案路徑

keystorepass:證書密碼

truststorefile:客戶端證書的根證書

truststorepass:根證書密碼

啟動伺服器，

ie就可以用 https協議訪問伺服器咯，ie警告我們的證書不安全，我們可以在ie設定-->高階裡面，將「對證書位址不匹配

發出警告」取消掉既可以忽略警告咯。

最後我在使用者https中訪問http資源被瀏覽器攔截咯，我們在ie 設定-->安全「顯示混合內容」選擇「啟用」。firefox 操作為,about:config -->將security.mixed_content.block_active_content;true ，就可以正常訪問咯。