keytool生成證書與Tomcat SSL配置

1、Keytool介紹 

Keytool是一個Java數據證書的管理工具。Keytool將密鑰（key）和證書（certificates）存在一個稱爲keystore的文件中在keystore裏，包含兩種數據： 

1.   密鑰實體（Key entity）——密鑰（secret key）又或者是私鑰和配對公鑰（採用非對稱加密） 

2.   可信任的證書實體（trusted certificate entries）——只包含公鑰 

Alias（別名）：每一個keystore都關聯這一個獨一無二的alias，這個alias一般不區分大小寫 

keystore的存儲位置 

在沒有制定生成位置的狀況下，keystore會存在與用戶的系統默認目錄， 如：對於window xp系統，會生成在系統的C:/Documents and Settings/UserName/ 文件名爲「.keystore」 

keystore的生成：keytool -genkey -alias tomcat -keyalg RSA   -keystore d:/mykeystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass -validity 36500 

參數說明： 

-genkey表示要建立一個新的密鑰 
-dname表示密鑰的Distinguished Names， 
CN=commonName 
OU=organizationUnit 
O=organizationName 
L=localityName 
S=stateName 
C=country 
Distinguished Names代表了密鑰的發行者身份 
-keyalg使用加密的算法，這裏是RSA 
-alias密鑰的別名 
-keypass私有密鑰的密碼，這裏設置爲changeit 
-keystore 密鑰保存在D:盤目錄下的mykeystore文件中 
-storepass 存取密碼，這裏設置爲changeit，這個密碼提供系統從mykeystore文件中將信息取出 
-validity該密鑰的有效期爲 36500表示100年 (默認爲90天) 

cacerts證書文件(The cacerts Certificates File) 

改證書文件存在於java.home/lib/security目錄下，是Java系統的CA證書倉庫 

2、準備工做 

1.   驗證是否已建立過同名的證書 

Window ： keytool -list -v -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit

Linux ： keytool -list -v -alias tomcat -keystore "$JAVA_HOME/jre/lib/security/cacerts" -storepass changeit 

2.   刪除已建立的證書 

Window ： keytool -delete -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit 

Linux ： keytool -delete -alias tomcat -keystore "$JAVA_HOME/jre/lib/security/cacerts" -storepass changeit 

3、建立證書 

1.   服務器中生成證書： 

(注：生成證書時，CN要和服務器的域名相同，若是在本地測試，則使用localhost) 

Window ： keytool -genkey -alias tomcat -keyalg RSA -keystore d:/my.keystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass changeit 

Linux ： keytool -genkey -alias tomcat -keyalg RSA -keystore ~/my.keystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass changeit 

2.   導出證書，由客戶端安裝： 

window ： keytool -export -alias tomcat -keystore d:/my.keystore -file d:/mycerts.cer -storepass changeit 

Linux ： keytool -export -alias tomcat -keystore ~/my.keystore -file ~/mycerts.cer -storepass changeit 

3.   客戶端配置：爲客戶端的JVM導入密鑰(將服務器下發的證書導入到JVM中) 

window ： keytool -import -trustcacerts -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -file d:/mycerts.cer -storepass changeit 

Linux ： keytool -import -trustcacerts -alias tomcat -keystore "$JAVA_HOME/jre/lib/security/cacerts" -file ~/mycerts.cer -storepass changeit 

4、配置Tomcat SSL 

修改server.xml中的SSL服務 
Window ： 
<Connector port="8443" maxHttpHeaderSize="8192" 
     maxThreads="150" minSpareThreads="25" maxSpareThreads="75" 
     enableLookups="false" disableUploadTimeout="true" 
     acceptCount="100" scheme="https" secure="true" 
     clientAuth="false" sslProtocol="TLS" keystoreFile="d:/my.keystore" keystorePass="changeit"/> 

Linux： 
<Connector port="8443" maxHttpHeaderSize="8192" 
     maxThreads="150" minSpareThreads="25" maxSpareThreads="75" 
     enableLookups="false" disableUploadTimeout="true" 
     acceptCount="100" scheme="https" secure="true" 
     clientAuth="false" sslProtocol="TLS" keystoreFile="~/my.keystore" keystorePass="changeit"/> 

5、常見問題 

1.   未找到可信任的證書 

主要緣由爲在客戶端未將服務器下發的證書導入到JVM中，能夠用 

keytool -list -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit 

來查看證書是否真的導入到JVM中。 

2.   keytool錯誤:java.io.IOException:keystore was tampered with,or password was incorrect 

緣由是在你的home目錄下是否還有.keystore存在。若是存在那麼把他刪除掉，後再執行 

或者刪除"%JAVA_HOME%/jre/lib/security/cacerts 再執行 

建議直接刪掉cacerts再導入 

Tomcat配置https及訪問http自動跳轉至https 
完成上述操做就能夠經過https://www.xxx.com:8443 或者 http://www.xxx.com:[port]訪問網站； 
第二步：配置Tomcat 
　　打開$CATALINA_HOME/conf/server.xml，修改以下： 

　　<Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000"　redirectPort="8443" /> 
修改參數=> 
<Connector port="80" protocol="HTTP/1.1"　connectionTimeout="20000"  redirectPort="443" /> 


<!-- 
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" 
              maxThreads="150" scheme="https" secure="true" 
              clientAuth="false" sslProtocol="TLS"/> 
--> 
去掉註釋且修改參數=> 
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" 
               maxThreads="150" scheme="https" secure="true" 
               clientAuth="false" sslProtocol="TLS" keystoreFile="/etc/tomcat.keystore" keystorePass="changeit"/> 


<!-- 
   <Connector port="8009" enableLookups="false" protocol="AJP/1.3" redirectPort="8443" /> 
--> 
修改參數=> 
<Connector port="8009" enableLookups="false" protocol="AJP/1.3" redirectPort="443" /> 

第三步：配置tomcat的web.xml在該文件末尾增長：強制https訪問 
及輸入http:// 自動跳轉https:// 
配置以下： 
<login-config> 
     <!-- Authorization setting for SSL --> 
     <auth-method>CLIENT-CERT</auth-method> 
     <realm-name>Client Cert Users-only Area</realm-name> 
</login-config> 
<security-constraint> 
     <!-- Authorization setting for SSL --> 
     <web-resource-collection > 
     <web-resource-name >SSL</web-resource-name> 
     <url-pattern>/*</url-pattern> 
     </web-resource-collection> 
     <user-data-constraint> 
     <transport-guarantee>CONFIDENTIAL</transport-guarantee> 
     </user-data-constraint> 
</security-constraint>