生成Tomcat证书
- cmd进入jdk安装目录的bin下面
- 执行命令:keytool -genkey -v -alias tomcat -keyalg RSA -keystore E:\Tools\Tomcat\https\tomcat.keystore -validity 365
“tomcat”:为证书别名
“E:\Tools\Tomcat\https\tomcat.keystore”:为生成证书的地址与证书名
“365”:有效期365天
为客户端生成证书
- 执行命令:keytool -genkey -v -alias client -keyalg RSA -storetype PKCS12 -keystore E:\Tools\Tomcat\https\client.p12 -validity 365
"client”:为客户端别名
“E:\Tools\Tomcat\https\client.p12”:生成的存储地址
“365”:证书有效期365天
服务端信任证书
- 执行命令:keytool -export -alias client -keystore E:\Tools\Tomcat\https\client.p12 -storetype PKCS12 -storepass 123456 -rfc -file E:\Tools\Tomcat\https\clientforserver.cer
“E:\Tools\Tomcat\https\client.p12”:为上文中生成的client.p12地址
“123456”:客户端密码
“E:\Tools\Tomcat\https\clientforserver.cer”:生成CER文件的路径
- 执行命令:keytool -import -v -file E:\Tools\Tomcat\https\clientforserver.cer -keystore E:\Tools\Tomcat\https\tomcat.keystore
检查信任结果
- 执行命令:keytool -list -keystore E:\Tools\Tomcat\https\tomcat.keystore
列表内容生成可用的客户端证书
- 执行命令:keytool -keystore E:\Tools\Tomcat\https\tomcat.keystore -export -alias tomcat -file E:\Tools\Tomcat\https\CA.cer
修改Tomcat配置
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
truststoreFile="E:\Tools\Tomcat\https\tomcat.keystore"
truststorePass="123456"/>