Tomcat安裝CA證書（詳細過程篇）

以Verisign 測試證書爲例 

1.建立一個本地證書： 

C:\j2sdk1.4.2_05\bin>;keytool -genkey -alias tomcat -keyalg RSA -keystore keystore 
輸入keystore密碼：  12345678 
您的名字與姓氏是什麼？ 
  [Unknown]：  www.test.com 
您的組織單位名稱是什麼？ 
  [Unknown]：  system 
您的組織名稱是什麼？ 
  [Unknown]：  test 
您所在的城市或區域名稱是什麼？ 
  [Unknown]：  beijing 
您所在的州或省份名稱是什麼？ 
  [Unknown]：  beijing 
該單位的兩字母國家代碼是什麼 
  [Unknown]：  cn 
CN=liujx, OU=system, O=test, L=beijing, ST=beijing, C=cn 正確嗎？ 
  [否]：  y 

輸入;的主密碼          （若是和 keystore 密碼相同，按回車）：  查看證書  C:\j2sdk1.4.2_05\bin>;keytool -list -keystore keystore  輸入keystore密碼：  12345678  Keystore 類型： jks  Keystore 提供者： SUN  您的 keystore 包含 1 輸入  tomcat, 2004-11-26, keyEntry,  認證指紋 (MD5)： B8:44:A1:A2:C7:9A:09:EE:A0:CF:5B:AA:DC:F7:0F:80  2.而後建立CSR：  C:\j2sdk1.4.2_05\bin>;keytool -certreq -keyalg RSA -alias tomcat -file certreq.csr -keystore keystore  輸入keystore密碼：  12345678  如今，你有了一個叫certreq.csr的文件，你能夠將它提交到CA（參考CA網站上的文檔怎樣作）。而後就獲得了證書。  例如：咱們申請了個Verisign.com的測試證書保存爲：client.cer  3.從你得到證書的CA下載Chain Certificate:  例如：  Verisign.com正式證書：去http://www.verisign.com/support/install/intermediate.html  Verisign Test CA Root證書：去http://www.verisign.com/server2/trial/faq/index.html  4.將Chain Certificate導入到keystore：  例如：導入Verisign Test CA Root證書getcacert.cer  C:\j2sdk1.4.2_05\bin>;keytool -import -trustcacerts -alias root -file getcacert.cer -keystore keystore  輸入keystore密碼：  12345678  Owner: OU=For VeriSign authorized testing only. No assurances (C)VS1997, OU=www.verisign.com/repository/TestCPS Incorp. By Ref. Liab. LTD., O="VeriSign, Inc" 發照者： OU=For VeriSign authorized testing only. No assurances (C)VS1997, OU=www.verisign.com/repository/TestCPS Incorp. By Ref. Liab. LTD., O="VeriSign, Inc" 序號： 52a9f424da674c9daf4f537852abef6e  有效期間： Sun Jun 07 08:00:00 CST 1998 至： Wed Jun 07 07:59:59 CST 2006  認證指紋：           MD5：  40:06:53:11:FD:B3:3E:88:0A:6F:7D:D1:4E:22:91:87           SHA1： 93:71:C9:EE:57:09:92:5D:0A:8E:FA:02:0B:E2:F5:E6:98:6C:60:DE  信任這個認證？ [否]：  y  認證已添加至keystore中  查看證書  C:\j2sdk1.4.2_05\bin>;keytool -list -keystore keystore  輸入keystore密碼：  12345678  Keystore 類型： jks  Keystore 提供者： SUN  您的 keystore 包含 2 輸入  root, 2004-11-26, trustedCertEntry,  認證指紋 (MD5)： 40:06:53:11:FD:B3:3E:88:0A:6F:7D:D1:4E:22:91:87  tomcat, 2004-11-26, keyEntry,  認證指紋 (MD5)： B8:44:A1:A2:C7:9A:09:EE:A0:CF:5B:AA:DC:F7:0F:80  5.最後，導入你的新證書：   C:\j2sdk1.4.2_05\bin>;keytool -import -trustcacerts -alias tomcat -file client.crt -keystore keystore  .old  輸入keystore密碼：  12345678  認證回覆已安裝在 keystore中  查看證書  C:\j2sdk1.4.2_05\bin>;keytool -list -keystore keystore  輸入keystore密碼：  12345678  Keystore 類型： jks  Keystore 提供者： SUN  您的 keystore 包含 2 輸入  root, 2004-11-26, trustedCertEntry,  認證指紋 (MD5)： 40:06:53:11:FD:B3:3E:88:0A:6F:7D:D1:4E:22:91:87  tomcat, 2004-11-26, keyEntry,  認證指紋 (MD5)： 68:33:EE:6C:5C:5B:70:B5:0D:85:3B:6D:AF:00:91:24  注意：仔細觀察tomcat項的認證指紋與導入以前是不一樣的。  6.安裝證書  把最後生成的keystore文件，複製到tomcat安裝路徑的conf目錄下  7.修改Tomcat的配置文件server.xml      ;                      maxThreads="150" minSpareThreads="25" maxSpareThreads="75"                 enableLookups="false" disableUploadTimeout="true"                 acceptCount="100" debug="0" scheme="https" secure="true"                 clientAuth="false" sslProtocol="TLS"                  keystoreFile="/conf/keystore" keystorePass="12345678"/>;  8.從新啓動Tomcat  9.爲IE瀏覽器安裝測試根證書：  雙擊getcacert.cer，安裝測試根證書  10.測試SSL  打開IE輸入https://www.test.com:8443/  若是沒有任何提示就進入頁面，說明配置徹底正確。祝你好運！