安全套接字层是一个协议,它在网络环境中使客户端和服务器之间能安全通信。https协议,使用ssl作为http的上一层,传输层安全性是ssl协议的IETF版本,最后倾向于替代ssl。
下面就讲下我配置tomcat使用https在客户端和服务器之间进行双向验证过程。
1.为服务器生成证书
keytool -genkey -v -alias localhost -keyalg RSA -keystore server
alias别名,对应服务器的域名,一般本地开发用localhost
2.为客户端生成证书
keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore my.p12
这里指定了证书的格式PKCS12,这样就能够直接导入到ie,或火狐中
3.让服务器信任客户端证书
这里先要生成客户端的证书,然后将证书导入到服务器中
生成客户端的证书:
keytool -export -alias myKey -keystore my.p12 -storetype PKCS12 -rfc -file my.cer
将证书导入到服务器中
keytool -import -v -file my.cer -keystore tomcat.keystore
4.启动tomcat的http connection
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS" keystoreFile="g:/keystore/server" keystorePass="password" truststoreFile="g:/keystore/server" truststorePass="password" />
首先,keystoreFile指定了服务器的密钥库,里面保存有密钥和证书
keystorePass 密码
truststoreFile指定证书的位置
truststorePass指定密码
这样重启tomcat之后,就可以实现双向验证。