tomcat7单双向SSL配置33.docxVIP

使用openssl签名证书并在tomcat7中进行配置主要参考文档：http://11/blog/1491607/leeboysam/item/969db6057e913918ebfe3837准备首先，在进行证书签名前准备一些软件，并配置一些环境。包括:下载安装openssl确定服务器及客户端用户名这里规划如下：机器机器名备注部署应用服务器的服务器server.neuqdomain最好采用：名称 + “.域名”格式客户端用户任意任意格式ca根证书无不同于服务器名的任意名称这里比较重要的一点是：需要在服务器和测试的客户端中配置该服务器的DNS名称为server.neuqdomain。在windows下测试时，我们可以直接修改%windir%\system32\drivers\etc\hosts 文件。在该文件中添加： server.neuqdomain即可。根证书信息规划检查是否有根证书，如果没有先确定根证书的名称这里规划根证书为：neuqca完整信息为：国家：CN,省：heb,市：qhd，单位性质：com，单位名：neuqsoft用户名： neuqrootca 密码：服务器端证书规划这里规划根证书为：server (注意：此服务器端证书用户名必须和服务器机器名一致)完整信息为：国家：CN,省：heb,市：qhd，单位性质：com，单位名：neuqsoft用户名： server.neuqdomain 密码：客户器端证书规划这里规划根证书为：client (此处客户端用户名可以任意指定)完整信息为：国家：CN,省：heb,市：qhd，单位性质：com，单位名：neuqsoft用户名： client 密码：规划一下保存放置证书的目录这里产生的证书放到测试用的tomcat中的 %TOMCAT_HOME%\conf\ssl中(实际任意目录均可，建议统一规划)，再在该目录下划分为：ca，server，client，jks几个目录配置openssl的环境变量将%openssl_home%\bin目录添加到path的环境变量中，确保能在命令行中执行openssl命令。执行正确会出现 openssl提示符。出现提示符后quit即可。文件后缀名规划产生证书过程中会用到的文件后缀规划如下：后缀名格式备注-key.pempempem文件一般是文本格式的，可以放证书或者私钥。这里用来放key文件-req.csrcsr证书请求文件-cert.cercer公钥证书.p12p12个人证书格式PKCS12.keystorejksjks证书存储库,注意linux下最好使用keystore后缀名.srlsrlCA序列号文件证书key文件，未签名的证书文件证书生成配置创建根证书，并用openssl自签名此工程产生的证书可复用。应当每次使用一个相同的根证书，不要重新生成。生成ca根证书keyopensslgenrsa -out ca/root-key.pem 10242.创建根证书请求文件opensslreq -new -out ca/root-req.csr -key ca/root-key.pem#opensslreq -new -out ca/root-req.csr -key ca/root-key.pem -keyform PEM3.自签根证书openssl x509 -req -in ca/root-req.csr -out ca/root-cert.cer -signkey ca/root-key.pem -CAcreateserial -days 36504.导出p12格式根证书openssl pkcs12 -export -clcerts -in ca/root-cert.cer -inkey ca/root-key.pem -out ca/root.p125.生成root.jks文件keytool -import -v -trustcacerts -storepass 222222 -alias neuqrootca -file ca/root-cert.cer -keystorejks/root.keystore输出截屏信息为：------------------------产生自签名根证书部分--------------------------------D:\appserver\tomcat-7.0.37\conf\sslopenssl genrsa -out ca/root-key.pem 1024Loading screen into random state - doneGenerating RSA private key, 1024 bit long modulus.......++++++..........