https接口搭建配置.doc

首先利用keytool 工具生成服务器证书 客户端证书 互相信任认证 配置服务器开启https连接 拦截请求地址强制ssl认证连接 cmd 命令行输入 以下命令 1 keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:/SSL/server/tomcat.keystore -dname CN=,OU=jak,O=jak,L=Peking,ST=Peking,C=CN -validity 3650 -storepass jak123 -keypass jak123 解释参数***** keytool 是JDK提供的证书生成工具，所有参数的用法参见keytool –help -genkey 创建新证书 -v 详细信息 -alias tomcat 以”tomcat”作为该证书的别名。这里可以根据需要修改 -keyalg RSA 指定算法 -keystore D:/SSL/server/tomcat.keystore 保存路径及文件名 -dname CN=,OU=zlj,O=zlj,L=Peking,ST=Peking,C=CN 证书发行者身份，这里的CN要与发布后的访问域名一致 -validity 3650证书有效期，单位为天 -storepass jak123证书的存取密码 -keypass jak123 证书的私钥 2 生成客户端证书 执行以下命令 keytool ‐genkey ‐v ‐alias client ‐keyalg RSA ‐storetype PKCS12 ‐keystore D:/SSL/client/client.p12 ‐dname CN=client,OU=jak,O=jak,L=bj,ST=bj,C=CN ‐validity 3650 ‐storepass client ‐keypass client 3 导出客户端证书 keytool -export -alias client -keystore D:/SSL/client/client.p12 -storetype PKCS12 -storepass client -rfc -file D:/SSL/client/client.cer 4 把客户端证书加入服务端证书信任列表 keytool -import -alias client -v -file D:/SSL/client/client.cer -keystore D:/SSL/server/tomcat.keystore -storepass jak123 5 导出服务端证书 keytool -export -alias tomcat -keystore D:/SSL/server/tomcat.keystore -storepass jakjak -rfc -file D:/SSL/server/tomcat.cer 6 生成客户端信任列表 keytool -import -file D:/SSL/server/tomcat.cer -storepass jak123 -keystore D:/SSL/client/client.truststore -alias tomcat -noprompt 在Tomcat server.xml文件中 替换 8443 端口配置 !-- 开启HTTPS接口的配置 -- Connector port=8443 protocol=HTTP/1.1 SSLEnabled=true maxThreads=150 scheme=https secure=true clientAuth=true sslProtocol=TLS keystoreFile=D:/SSL/server/tomcat.keystore keystorePass=jak123 truststoreFile=D:/SSL/server/tomcat.keystore truststorePass=jak123 / clientAuth =true 双向认证 false 单项认证，单项认证时候不需要truststoreFile truststorePass 参数配置即可 web.xml 文件加入配置 !-- 强制SSL配置，即普通的请求也会重定向为SSL请求 -- security-constraint web-resource-collection web-resource-nameSSL/web-resource-name url-pa