Tomcat配置https之 JDK SSL证书生成与验证

关于证书

SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道（Secure socket layer(SSL),安全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证；对传送的数据进行加密和隐藏；确保数据在传送中不被改变，即数据的完整性，现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中，因此，仅需安装服务器证书就可以激活该功能了）。即通过它可以激活SSL协议，实现数据信息在客户端和服务器之间的加密传输，可以防止数据信息的泄露。保证了双方传递信息的安全性，而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。

证书分为两种，一种是花钱向认证的机构购买的证书，服务端如果使用的是这类证书的话，那一般客户端不需要做什么，用HTTPS进行请求就行了，苹果内置了那些受信任的根证书的。另一种是自己制作的证书，使用这类证书的话是不受信任的（当然也不用花钱买），因此需要我们在代码中将该证书设置为信任证书。

tomcat实现SSL认证

Tomcat配置单向的ssl方式

生成服务器证书

1、生成密钥文件.keystore

从命令行窗口进入到jdk安装目录下的bin，

keytool -genkey -v -alias tomcat -keyalg RSA -keystore /usr/local/ssl/tomcat.keystore -validity 365

接着根据提示输入信息：
keystore密码
证书发行者信息：名字与姓氏（请输入域名。如www.cnblogs.com）,组织单位名称,组织名称,城市或区域名称,州或省份名称,单位的两字母国家代码
私钥的密码

关于keytool命令：

Keytool 是一个Java数据证书的管理工具 ,Keytool将密钥（key）和证书（certificates）存在一个称为keystore的文件中在keystore里，包含两种数据:密钥实体（Key entity）-密钥（secret key）或者是私钥和配对公钥（采用非对称加密）可信任的证书实体（trusted certificate entries）-只包含公钥.
JDK中keytool常用参数说明（不同版本有差异，详细可参见【附录】中的官方文档链接）:

-genkey 在用户主目录中创建一个默认文件”.keystore”,还会产生一个mykey的别名，mykey中包含用户的公钥、私钥和证书(在没有指定生成位置的情况下,keystore会存在用户系统默认目录)
-alias 产生别名 每个keystore都关联这一个独一无二的alias，这个alias通常不区分大小写
-keystore 指定密钥库的名称(产生的各类信息将不在.keystore文件中)
-keyalg 指定密钥的算法 (如 RSA DSA，默认值为：DSA)
-validity 指定创建的证书有效期多少天(默认 90)
-keysize 指定密钥长度 （默认 1024）
-storepass 指定密钥库的密码(获取keystore信息所需的密码)
-keypass 指定别名条目的密码(私钥的密码)
-dname 指定证书发行者信息 其中： “CN=名字与姓氏,OU=组织单位名称,O=组织名称,L=城市或区域名称,ST=州或省份名称,C=单位的两字母国家代码”
-list 显示密钥库中的证书信息 keytool -list -v -keystore 指定keystore -storepass 密码
-v 显示密钥库中的证书详细信息
-export 将别名指定的证书导出到文件 keytool -export -alias 需要导出的别名 -keystore 指定keystore -file 指定导出的证书位置及证书名称 -storepass 密码
-file 参数指定导出到文件的文件名
-delete 删除密钥库中某条目 keytool -delete -alias 指定需删除的别 -keystore 指定keystore – storepass 密码
-printcert 查看导出的证书信息 keytool -printcert -file /usr/local/ssl/tomcat.crt
-keypasswd 修改密钥库中指定条目口令 keytool -keypasswd -alias 需修改的别名 -keypass 旧密码 -new 新密码 -storepass keystore密码 -keystore sage
-storepasswd 修改keystore口令 keytool -storepasswd -keystore /usr/local/ssl/tomcat.keystore(需修改口令的keystore) -storepass pwdold(原始密码) -new pwdnew(新密码)
-import 将已签名数字证书导入密钥库 keytool -import -alias 指定导入条目的别名 -keystore 指定keystore -file 需导入的证书

2、将.keystore导入到证书

keytool -export -file /usr/local/ssl/tomcat.crt -alias tomcat -keystore /usr/local/ssl/tomcat.keystore

根据提示输入storepass,之后显示：

Certificate stored in file </usr/local/ssl/tomcat.crt>

3、将证书tomcat.crt导入到JVM中

keytool -import -keystore ../jre/lib/security/cacerts -file /userdata/ssl/tomcat.crt -alias tomcat

*linux或Mac，需要root权限时，加上sudo keytool -import -keystore ../jre/lib/security/cacerts -file /userdata/ssl/tomcat.crt -alias tomcat

Enter keystore password:changeit

从JVM删除证书的命令：

keytool -delete -alias tomcat -keystore ../jre/lib/security/cacerts -storepass changeit

4.配置tomcat https开启

按照以上方法证书生成后，我们再配置tomcat。

单向认证如下：

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"

maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

clientAuth="false" sslProtocol="TLS"

keystoreFile="/usr/local/ssl/tomcat.keystore" keystorePass="密码库密钥"  />

其中，clientAuth指定是否需要验证客户端证书，如果该设置为“false”，则为单向SSL验证，SSL配置可到此结束。如果clientAuth设置为“true”，表示强制双向SSL验证，必须验证客户端证书，但服务器不会颁发证书必须由客户端导入。如果clientAuth设置为“want”，则表示可以验证客户端证书，但如果客户端没有有效证书，也不强制验证。 注意：浏览器的高级选型中要启用TLS加密方式。

Tomcat支持HTTPS双向认证：

配置Tomcat支持HTTPS双向认证（服务器将认证客户端证书）： 修改tomcat的conf目录里的server.xml文件（$TOMCAT_HOME/conf/server.xml），找到类似下面内容的配置处，添加配置如下：

<Connector port="8443" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" acceptCount="100" debug="0" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="conf/tomcat.p12" keystorePass="111111" keystoreType="PKCS12" truststoreFile="conf/truststore.jks" truststorePass="111111" truststoreType="JKS" />

keystore文件转换格式：.keystore->.p12->.pem-》pk8+x509.pem

第一步：.keystore->.p12

keytool   -importkeystore -srckeystore tomcat.keystore   -destkeystore tmp.p12 -srcstoretype JKS  -deststoretype PKCS12 

第二步： .p12->.pem

使用openssl命令

openssl pkcs12 -in tmp.p12 -nodes -out tmp.rsa.pem 

接下来打开文件tmp.rsa.pem

-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

复制“BEGIN CERTIFICATE”  “END CERTIFICATE” 到（新建个文件） cert.x509.pem

-----BEGIN RSA PRIVATE KEY-----
...
-----END RSA PRIVATE KEY-----

复制 “BEGIN RSA PRIVATE KEY”   “END RSA PRIVATE KEY” 到（同上） private.rsa.pem

第三步：生成pk8格式的私钥

openssl pkcs8 -topk8 -outform DER -in     private.rsa.pem -inform PEM -out private.pk8 -nocrypt 
或
openssl pkcs8 -topk8 -outform DER -in private.rsa.pem -inform PEM -out private.pk8  

-nocrypt：加上这个参数，则设定key不加密。