1.生成服务器端证书

keytool -genkey -keyalg RSA -dname "cn=localhost,ou=sango,o=none,l=china,st=beijing,c=cn" -alias server -keypass password -keystore server.jks -storepass password -validity 3650  
cn=localhost根据部署的域名确定
-alias server 证书名称
-keypass password证书密码
-keystore server.jks 证书存放文件名称
-storepass password  文件的密码  
-validity 3650 有效时间（单位：天）

2、生成客户端证书

keytool -genkey -keyalg RSA -dname "cn=sango,ou=sango,o=none,l=china,st=beijing,c=cn" -alias custom -storetype PKCS12 -keypass password -keystore custom.p12 -storepass password -validity 3650   
 -alias custom证书名称
-storetype PKCS12证书类型
-keypass password 证书密码
-keystore custom.p12证书存放文件名
-storepass password证书文件密码
-validity 3650 有效时间（单位：天）

3.为服务器生成信任证书文件
首先把客户端证书导出为一个cer文件

keytool -export -alias custom -file custom.cer -keystore custom.p12 -storepass password -storetype PKCS12 -rfc   
 -alias 客户端证书别名，和生成时的别名对应  
-file custom.cer 导出的cer文件名称  
-keystore custom.p12客户端证书文件路径
-storepass password 客户端证书访问密码

然后把生成的cet文件导入到一个信任的文件中

keytool -import -v -alias custom -file custom.cer -keystore truststore.jks -storepass password   
 -alias custom导入到信任文件的证书别名，任意值  
-file custom.cer客户端的cet文件路径  
-keystore truststore.jks信任的文件存放路径，如果不存在则会生成一个新的文件，否则添加到已有的文件中  
-storepass password  信任文件的密码

4.修改tomcat配置文件server.xml

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"    
    maxThreads="150" scheme="https" secure="true"    
    clientAuth="true" sslProtocol="TLS"    
    keystoreFile="D:/server.jks" keystorePass="password"    
    truststoreFile="D:/truststore.jks" truststorePass="password"    
/>

5.导入客户端证书custom.p12到浏览器，可双击文件导入
注意：需要导出到个人的标签下，其他的标签下无效