用Keytool及OpenSSL生成及签发数字证书.docxVIP

4.2.1 建立工作目录 demoCA 4.2.2 生成CA私钥以及自签名根证书 生成CA私钥 openssl genrsa -out demoCA\ca-key.pem 1024 生成待签名证书 openssl req -new -out demoCA\ca-req.csr -key demoCA\ca-key.pem 用CA私钥进行自签名 openssl x509 -req -in demoCA\ca-req.csr -out ca\ca-cert.pem -signkey demoCA\ca-key.pem -days 365 4.3 设置Tomcat 4.x 在本文中用符号%JDK_HOME%来表示JDK的安装位置，用符号%TCAT_HOME% 表示Tomcat的安装位置。 4.3.1建立工作目录 mkdir server 4.3.2 生成server端证书 生成KeyPair %JDK_HOME%\bin\keytool -genkey -alias tomcat_server -validity 365 -keyalg RSA -keysize 1024 -keypass 123456 -storepass 123456 -keystore server\server_keystore 生成待签名证书 %JDK_HOME%\bin\keytool -certreq -alias tomcat_server -sigalg MD5withRSA -file server\server.csr -keypass 123456 -keystore server\server_keystore -storepass changeit 用CA私钥进行签名 openssl x509 -req -in server\server.csr -out server\server-cert.pem -CA demoCA\ca-cert.pem -CAkey demoCA\ca-key.pem -CAserial demoCA/ca-cert.srl -CAcreateserial -days 365 导入信任的CA根证书到JSSE的默认位置(%JDK_ROOT %/jre/security/cacerts) %JDK_HOME%\bin\ keytool -import -v -trustcacerts -storepass 123456 -alias my_ca_root -file demoCA\ca-cert.pem -keystore %JDK_HOME%\jre\lib\security\cacerts 把CA签名后的server端证书导入keystore %JDK_HOME%\bin\keytool -import -v -trustcacerts -storepass changeit -alias tomcat_server -file server\server-cert.pem -keystore server\server_keystore %JDK_HOME%\bin\keytool -import -v -alias tomcat_server -file server\server-cert.pem -storepass 123456 -keystore server_keystore 查看server端证书 keytool -list -keystore %JDK_HOME%\jre\lib\security\cacerts keytool -list -keystore server\server_keystore 4.3.3 修改server.xml使Tomcat支持SSL 首先找到以下内容，去掉对其的注释。然后参照红色部分修改。如果配置Tomcat不验证客户身份，可以设置 clientAuth=false。 Connector className=org.apache.catalina.connector.http.HttpConnector port=8443 minProcessors=5 maxProcessors=75 enableLookups=true acceptCount=10 debug=0 scheme=https secure=true Factory className=.SSLServerSocketFactory clientAuth=true protocol=TLS keystoreFile=%TCAT_HOME%/conf/server_keystore keystorePass=changeit / 然后把文件server\server_key