Tomcat启用HTTPS协议之JDK工具keytool

 Tomcat启用HTTPS协议之JDK工具keytool

需求：平台原本是用http访问的，为了保证数据传输的完整性及防止接口被监听，甲方要求将平台改为https访问。

原因：HTTP 的连接很简单，是无状态的；HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议，比 HTTP 协议安全

方案1、在tomcat中修改server.xml配置，使用jdk自带工具keytool生成ssl证书，使平台可以通过https访问。

方案2、通过Nginx代理的方式将https转为http，已达到上述目的。

此文记录方案1的详细操作，流程比较繁琐，但绝对可以成功。

第一部分：如下操作完，即可通过https://ip:8843/projectName访问平台，如下图。问题是访问会提示“此站点不安全”，点击“详细信息”中的“转到此网页(不推荐)”，即可打开平台。

 Tomcat启用HTTPS协议之JDK工具keytool

需求：平台原本是用http访问的，为了保证数据传输的完整性及防止接口被监听，甲方要求将平台改为https访问。

原因：HTTP 的连接很简单，是无状态的；HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议，比 HTTP 协议安全

方案1、在tomcat中修改server.xml配置，使用jdk自带工具keytool生成ssl证书，使平台可以通过https访问。

方案2、通过Nginx代理的方式将https转为http，已达到上述目的。

此文记录方案1的详细操作，流程比较繁琐，但绝对可以成功。

第一部分：如下操作完，即可通过https://ip:8843/projectName访问平台，如下图。问题是访问会提示“此站点不安全”，点击“详细信息”中的“转到此网页(不推荐)”，即可打开平台。

1、首先需要安装jdk（安装方法自行百度），本文用的是jdk1.8，在安装路径下找keytool.exe。

2、在keytool中按住shift+右键，点击在此处打开Powershell窗口，打开的命令窗口即keytool.exe所在的目录，后续的命令均在此处执行。

3、在d盘下创建keys文件，后续命令生成的文件均在此目录下

4、执行以下命令：keytool -genkey -alias tomcat -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -keystore D:/keys/tomcat.keystore -storepass 123456

命令中重点关注参数：别名-alias tomcat，记住这个tomcat，后面用的到。-keypass 密码，这个非常重要，后面用的到。-keystore 路径，这个是生成tomcat.keystore的路径。

输入内容中重点参数：您的名字与姓氏是什么？这个填写要使用https访问的平台ip，其他的可以是anything

5、将生成的tomcat.keystore放到平台所在服务器下（/root/key），

6、修改tomcat下conf中的server.xml，增加如下配置，重点关注路径（tomcat.keystore所在的路径）和密码（生成tomcat.keystore时用的密码）：

    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true"clientAuth="false" sslProtocol="TLS" keystoreFile="/root/key/tomcat.keystore" keystorePass="123456"  />

7、以上配置完成后重启tomcat，第一部分操作完成，结果应该入开始部分的描述。

第二部分 如下操作完，即可通过https正常访问平台，没有“此站点不安全”的提示。

0、尝试过降低ie安全级别，加入信任站点等方式，仍有“此站点不安全”的提示，因此不得不继续进行了。

1、为客户端生成证书，以便让服务器来验证，证书格式应该是PKCS12。执行如下命令：keytool -genkey -alias client -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -storetype PKCS12 -keystore D:/keys/client.p12 -storepass 123456

执行后会在d:/keys下生成client.p12文件。重点关注-alias 别名，后续用的到。-validity 验证有效期限。

命令之后会输入您的名字与姓氏是什么，此处输入平台的ip，其他的选项可以是anything。

2、让服务器信任客户端证书

2.1 由于不能直接将PKCS12格式的证书库导入，必须先把客户端证书导出为一个单独的CER文件。执行命令： keytool -export -alias client -keystore D:/keys/client.p12 -storetype PKCS12 -keypass 123456 -file D:/keys/client.cer

秘钥库口令即上文输入的123456

2.2将该文件导入到服务器的证书库，添加为一个信任证书,执行命令：keytool -import -v -file D:/keys/client.cer -keystore D:/keys/tomcat.keystor

秘钥库口令即上文输入的123456

2.3完成之后通过list命令查看服务器的证书库，可以看到两个证书，一个是服务器证书，一个是受信任的客户端证书：keytool -list -v -keystore D:/keys/tomcat.keystore

3.让客户端信任服务器证书，由于是双向SSL认证，客户端也要验证服务器证书，因此，必须把服务器证书添加到浏览器的“受信任的根证书颁发机构”。由于不能直接把keystore格式的证书库导入，必须先把服务器证书导出为一个单独的CER文件，执行命令：keytool -keystore D:/keys/tomcat.keystore -export -alias tomcat -file D:/keys/server.cer

4、双击server.cer文件，按照提示安装证书，将证书填入到“受信任的根证书颁发机构”

4.2 打开ie的Internet选项，切换到内容，点击证书，选择中间证书颁发机构，即可查看到自己安装的证书。

4.3 接下来要做的就是要把证书从“中间证书颁发机构”导出，然后导入到“受信任的根证书颁发机构”

4.3.1 把证书从“中间证书颁发机构”导出

4.3.2 把导出的cer文件导入到“受信任的根证书颁发机构”

第三部分 综上，一共生成了以下几个文件

 Tomcat启用HTTPS协议之JDK工具keytool

需求：平台原本是用http访问的，为了保证数据传输的完整性及防止接口被监听，甲方要求将平台改为https访问。

原因：HTTP 的连接很简单，是无状态的；HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议，比 HTTP 协议安全

方案1、在tomcat中修改server.xml配置，使用jdk自带工具keytool生成ssl证书，使平台可以通过https访问。

方案2、通过Nginx代理的方式将https转为http，已达到上述目的。

此文记录方案1的详细操作，流程比较繁琐，但绝对可以成功。

第一部分：如下操作完，即可通过https://ip:8843/projectName访问平台，如下图。问题是访问会提示“此站点不安全”，点击“详细信息”中的“转到此网页(不推荐)”，即可打开平台。

1、首先需要安装jdk（安装方法自行百度），本文用的是jdk1.8，在安装路径下找keytool.exe。

2、在keytool中按住shift+右键，点击在此处打开Powershell窗口，打开的命令窗口即keytool.exe所在的目录，后续的命令均在此处执行。

3、在d盘下创建keys文件，后续命令生成的文件均在此目录下

4、执行以下命令：keytool -genkey -alias tomcat -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -keystore D:/keys/tomcat.keystore -storepass 123456

命令中重点关注参数：别名-alias tomcat，记住这个tomcat，后面用的到。-keypass 密码，这个非常重要，后面用的到。-keystore 路径，这个是生成tomcat.keystore的路径。

输入内容中重点参数：您的名字与姓氏是什么？这个填写要使用https访问的平台ip，其他的可以是anything

5、将生成的tomcat.keystore放到平台所在服务器下（/root/key），

6、修改tomcat下conf中的server.xml，增加如下配置，重点关注路径（tomcat.keystore所在的路径）和密码（生成tomcat.keystore时用的密码）：

    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true"clientAuth="false" sslProtocol="TLS" keystoreFile="/root/key/tomcat.keystore" keystorePass="123456"  />

7、以上配置完成后重启tomcat，第一部分操作完成，结果应该入开始部分的描述。

第二部分 如下操作完，即可通过https正常访问平台，没有“此站点不安全”的提示。

0、尝试过降低ie安全级别，加入信任站点等方式，仍有“此站点不安全”的提示，因此不得不继续进行了。

1、为客户端生成证书，以便让服务器来验证，证书格式应该是PKCS12。执行如下命令：keytool -genkey -alias client -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -storetype PKCS12 -keystore D:/keys/client.p12 -storepass 123456

执行后会在d:/keys下生成client.p12文件。重点关注-alias 别名，后续用的到。-validity 验证有效期限。

命令之后会输入您的名字与姓氏是什么，此处输入平台的ip，其他的选项可以是anything。

2、让服务器信任客户端证书

2.1 由于不能直接将PKCS12格式的证书库导入，必须先把客户端证书导出为一个单独的CER文件。执行命令： keytool -export -alias client -keystore D:/keys/client.p12 -storetype PKCS12 -keypass 123456 -file D:/keys/client.cer

秘钥库口令即上文输入的123456

2.2将该文件导入到服务器的证书库，添加为一个信任证书,执行命令：keytool -import -v -file D:/keys/client.cer -keystore D:/keys/tomcat.keystor

秘钥库口令即上文输入的123456

2.3完成之后通过list命令查看服务器的证书库，可以看到两个证书，一个是服务器证书，一个是受信任的客户端证书：keytool -list -v -keystore D:/keys/tomcat.keystore

3.让客户端信任服务器证书，由于是双向SSL认证，客户端也要验证服务器证书，因此，必须把服务器证书添加到浏览器的“受信任的根证书颁发机构”。由于不能直接把keystore格式的证书库导入，必须先把服务器证书导出为一个单独的CER文件，执行命令：keytool -keystore D:/keys/tomcat.keystore -export -alias tomcat -file D:/keys/server.cer

4、双击server.cer文件，按照提示安装证书，将证书填入到“受信任的根证书颁发机构”

4.2 打开ie的Internet选项，切换到内容，点击证书，选择中间证书颁发机构，即可查看到自己安装的证书。

4.3 接下来要做的就是要把证书从“中间证书颁发机构”导出，然后导入到“受信任的根证书颁发机构”

4.3.1 把证书从“中间证书颁发机构”导出

4.3.2 把导出的cer文件导入到“受信任的根证书颁发机构”

第三部分 综上，一共生成了以下几个文件

1、首先需要安装jdk（安装方法自行百度），本文用的是jdk1.8，在安装路径下找keytool.exe。

2、在keytool中按住shift+右键，点击在此处打开Powershell窗口，打开的命令窗口即keytool.exe所在的目录，后续的命令均在此处执行。

3、在d盘下创建keys文件，后续命令生成的文件均在此目录下

4、执行以下命令：keytool -genkey -alias tomcat -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -keystore D:/keys/tomcat.keystore -storepass 123456

命令中重点关注参数：别名-alias tomcat，记住这个tomcat，后面用的到。-keypass 密码，这个非常重要，后面用的到。-keystore 路径，这个是生成tomcat.keystore的路径。

输入内容中重点参数：您的名字与姓氏是什么？这个填写要使用https访问的平台ip，其他的可以是anything

5、将生成的tomcat.keystore放到平台所在服务器下（/root/key），

6、修改tomcat下conf中的server.xml，增加如下配置，重点关注路径（tomcat.keystore所在的路径）和密码（生成tomcat.keystore时用的密码）：

    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true"clientAuth="false" sslProtocol="TLS" keystoreFile="/root/key/tomcat.keystore" keystorePass="123456"  />

7、以上配置完成后重启tomcat，第一部分操作完成，结果应该入开始部分的描述。

第二部分 如下操作完，即可通过https正常访问平台，没有“此站点不安全”的提示。

0、尝试过降低ie安全级别，加入信任站点等方式，仍有“此站点不安全”的提示，因此不得不继续进行了。

1、为客户端生成证书，以便让服务器来验证，证书格式应该是PKCS12。执行如下命令：keytool -genkey -alias client -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -storetype PKCS12 -keystore D:/keys/client.p12 -storepass 123456

执行后会在d:/keys下生成client.p12文件。重点关注-alias 别名，后续用的到。-validity 验证有效期限。

命令之后会输入您的名字与姓氏是什么，此处输入平台的ip，其他的选项可以是anything。

2、让服务器信任客户端证书

2.1 由于不能直接将PKCS12格式的证书库导入，必须先把客户端证书导出为一个单独的CER文件。执行命令： keytool -export -alias client -keystore D:/keys/client.p12 -storetype PKCS12 -keypass 123456 -file D:/keys/client.cer

秘钥库口令即上文输入的123456

2.2将该文件导入到服务器的证书库，添加为一个信任证书,执行命令：keytool -import -v -file D:/keys/client.cer -keystore D:/keys/tomcat.keystor

秘钥库口令即上文输入的123456

2.3完成之后通过list命令查看服务器的证书库，可以看到两个证书，一个是服务器证书，一个是受信任的客户端证书：keytool -list -v -keystore D:/keys/tomcat.keystore

3.让客户端信任服务器证书，由于是双向SSL认证，客户端也要验证服务器证书，因此，必须把服务器证书添加到浏览器的“受信任的根证书颁发机构”。由于不能直接把keystore格式的证书库导入，必须先把服务器证书导出为一个单独的CER文件，执行命令：keytool -keystore D:/keys/tomcat.keystore -export -alias tomcat -file D:/keys/server.cer

4、双击server.cer文件，按照提示安装证书，将证书填入到“受信任的根证书颁发机构”

4.2 打开ie的Internet选项，切换到内容，点击证书，选择中间证书颁发机构，即可查看到自己安装的证书。

4.3 接下来要做的就是要把证书从“中间证书颁发机构”导出，然后导入到“受信任的根证书颁发机构”

4.3.1 把证书从“中间证书颁发机构”导出

4.3.2 把导出的cer文件导入到“受信任的根证书颁发机构”

第三部分 综上，一共生成了以下几个文件