双认证的实现

使用Keytool工具生成证书及签名完整步骤

1. 创建证书库(keystore)及证书(Certificate)
   2.生成证书签名请求(CSR)
   3.将已签名的证书导入证书库
   第一步:使用JDK自带工具KeyTool 生成自签发证书！
   为服务器生成证书：
   CMD命令如下：
   keytool

-genkey

-alias tomcat(别名)

-keypass 123456(别名密码)

-keyalg RSA(算法)

-keysize 1024(密钥长度)

-validity 365(有效期，天单位)

-keystore D:/keys/tomcat.keystore(指定生成证书的位置和证书名称)

-storepass 123456(获取keystore信息的密码)

keytool -genkey -alias tomcat -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -keystore D:/keys/tomcat.keystore -storepass 123456

解释：tomcat:别名
123456(别名密码)
RSA(算法)
1024(密钥长度)
365(有效期，天单位)
D:/https/key/tomcat.keystore(指定生成证书的位置和证书名称)
123456(获取keystore信息的密码)
注意：①D:/https/ key目录需要提前手动创建好，否则会生成失败
图例：
第二步：为客户端生成证书
为浏览器生成证书，以便让服务器来验证它。
因此，使用如下命令生成：

keytool

-genkey

-alias client (别名)

-keypass 123456(别名密码)

-keyalg RSA （算法）

-storetype PKCS12

-keypass 123456

-storepass 123456

-keystore D:/keys/client.p12
方便复制版：

keytool -genkey -alias client -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -storetype PKCS12 -keystore D:/https/key/client.p12 -storepass 123456

第二步余下操作步骤同第一步。
注意：上面两个证书的格式不一样。
第三步：让服务器信任客户端证书
1、

由于不能直接将PKCS12格式的证书库导入，

必须先把客户端证书导出为一个单独的CER文件，使用如下命令：

keytool -export -alias client -keystore D:/https/key/client.p12 -storetype PKCS12 -keypass 123456 -file D:/https/key/client.cer

图例：
注意：
Keypass：指定CER文件的密码，但会被忽略，而要求重新输入
2、

将该文件导入到服务器的证书库，添加为一个信任证书：

keytool -import -v -file D:/https/key/client.cer -keystore D:/https/key/tomcat.keystore -storepass 123456

图例： 完成之后通过list命令查看服务器的证书库，

可以看到两个证书，一个是服务器证书，一个是受信任的客户端证书：

keytool -list -v -keystore D:/keys/tomcat.keystore
图例：

第四步：让客户端信任服务器证书(和以上类似，注意但不同)
1、

由于是双向SSL认证，客户端也要验证服务器证书，

因此，必须把服务器证书添加到浏览器的“受信任的根证书颁发机构”。

由于不能直接将keystore格式的证书库导入，

必须先把服务器证书导出为一个单独的CER文件，使用如下命令：

keytool -keystore D:/https/key/tomcat.keystore -export -alias tomcat -file D:/https/key/server.cer

注意：此处的别名tomcat必须和格式转换前的别名一样。

2、

双击server.cer文件，按照提示安装证书，

将证书填入到“受信任的根证书颁发机构”。

填入方法：

打开浏览器 - 工具 - internet选项-内容- 证书-导入 就OK了。
第五步：配置Tomcat服务器

protocol=“org.apache.coyote.http11.Http11NioProtocol” SSLEnabled=“true”

maxThreads=“150”

scheme=“https”

secure=“true”

clientAuth=“true”

sslProtocol=“TLS”

keystoreFile=“D:/keys/tomcat.keystore”

keystorePass=“123456”

truststoreFile=“D:/keys/tomcat.keystore”

truststorePass=“123456” />

属性说明：

clientAuth:设置是否双向验证，默认为false，设置为true代表双向验证

keystoreFile:服务器证书文件路径

keystorePass:服务器证书密码

truststoreFile:用来验证客户端证书的根证书，此例中就是服务器证书

truststorePass:根证书密码

注意：

① 设置clientAuth属性为True时，需要手动导入客户端证书才能访问。

② 要访问https请求 需要访问8443端口，访问http请求则访问Tomcat默认端口（你自己设置的端口，默认8080）即可。

上图两个都配置了，http和https都能访问

本文来自互联网用户投稿，文章观点仅代表作者本人，不代表本站立场，不承担相关法律责任。如若转载，请注明出处。 如若内容造成侵权/违法违规/事实不符，请点击【内容举报】进行投诉反馈！