1.生成服务器端证书
keytool -genkey -keyalg RSA -dname "cn=localhost,ou=sango,o=none,l=china,st=beijing,c=cn" -alias server -keypass password -keystore server.jks -storepass password -validity 3650 cn=localhost根据部署的域名确定 -alias server 证书名称 -keypass password证书密码 -keystore server.jks 证书存放文件名称 -storepass password 文件的密码 -validity 3650 有效时间(单位:天)
2、生成客户端证书
keytool -genkey -keyalg RSA -dname "cn=sango,ou=sango,o=none,l=china,st=beijing,c=cn" -alias custom -storetype PKCS12 -keypass password -keystore custom.p12 -storepass password -validity 3650 -alias custom证书名称 -storetype PKCS12证书类型 -keypass password 证书密码 -keystore custom.p12证书存放文件名 -storepass password证书文件密码 -validity 3650 有效时间(单位:天)
3.为服务器生成信任证书文件
首先把客户端证书导出为一个cer文件
keytool -export -alias custom -file custom.cer -keystore custom.p12 -storepass password -storetype PKCS12 -rfc -alias 客户端证书别名,和生成时的别名对应 -file custom.cer 导出的cer文件名称 -keystore custom.p12客户端证书文件路径 -storepass password 客户端证书访问密码
然后把生成的cet文件导入到一个信任的文件中
keytool -import -v -alias custom -file custom.cer -keystore truststore.jks -storepass password -alias custom导入到信任文件的证书别名,任意值 -file custom.cer客户端的cet文件路径 -keystore truststore.jks信任的文件存放路径,如果不存在则会生成一个新的文件,否则添加到已有的文件中 -storepass password 信任文件的密码
4.修改tomcat配置文件server.xml
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="true" sslProtocol="TLS" keystoreFile="D:/server.jks" keystorePass="password" truststoreFile="D:/truststore.jks" truststorePass="password" />
5.导入客户端证书custom.p12到浏览器,可双击文件导入
注意:需要导出到个人的标签下,其他的标签下无效