?一、https分為單向認(rèn)證和雙向認(rèn)證:

單向認(rèn)證就是說，只有客戶端使用ssl時對服務(wù)器端的證書進(jìn)行認(rèn)證，也就是說，客戶端在請求建立之前，服務(wù)器端會向客戶端發(fā)送一個證書，一般情況下，這種證書都是由自己或企業(yè)自行發(fā)布的，所以在客戶端使用https時，會跳出“是否信任并繼續(xù)”，點擊信任則表示客戶端信任服務(wù)器端證書，才可以繼續(xù)交互。

雙向認(rèn)證,就是服務(wù)器端和客戶端都對雙方的證書進(jìn)行認(rèn)證，這時除了單向認(rèn)證外，還需要在服務(wù)器端的受信任證書列表中加入客戶端的證書，這樣服務(wù)器端才能信任客戶端的請求。

二、配置：

1.單向認(rèn)證配置：

?（1）首先使用keytool生成服務(wù)端密鑰倉庫，命令：?keytool -genkey -keyalg RSA -alias tomcatsso -dname "CN=localhost" -keystore d:\tomcatsso.keystore -storepass changeit

　　 ? ?命令參數(shù)-genkey表示是要生成新的密鑰庫，keyalg表示使用的密鑰生成算法是RSA，alias表示別名，keystore表示生成的密鑰庫存儲在什么地方，文件格式可以自定義，-storepass是表示密鑰庫的密碼。

　　　該步驟生成了一個密鑰庫，該密鑰庫包含私鑰和公鑰等文件。 把它用于服務(wù)器端的證書庫，用于客戶端瀏覽器認(rèn)證服務(wù)端。

（2）開啟tomcat對ssl的支持，具體方法是去掉 <Connector port="8443"...>這一段的注釋，并在本段的末尾加上keystoreFile="d:\tomcatsso.keystore" keystorePass="changeit"這兩個屬性，這兩個屬性會告訴tomcat去哪兒尋找服務(wù)器端密鑰庫。重啟tomcat，至此tomcat對https的修改完成。

?(3) 客戶端也要驗證服務(wù)器證書，因此，必須把服務(wù)器證書添加到瀏覽的“受信任的根證書頒發(fā)機構(gòu)”。由于不能直接將keystore格式的證書庫導(dǎo)入，必須先把服務(wù)器證書導(dǎo)出為一個單獨的.cer或.crt文件，使用如下命令：?

? ? ? keytool -keystore d:\tomcatsso.keystore?-export -alias tomcat -file D:\home\tomcat.cer

　　然后雙擊D:\home\tomcat.cer文件，選擇安裝到“受信任的根證書頒發(fā)機構(gòu)”下面。

? ? ?如果沒有第三步，瀏覽器會跳出“是否信任并繼續(xù)”，點擊信任則表示客戶端信任服務(wù)器端證書，才可以繼續(xù)交互。 消除該項請使用OPenSSL申請一個正式的服務(wù)器證書，參考 http://blog.csdn.net/jasonhwang/article/details/2344768

?2.雙向認(rèn)證配置：

?（1）?為客戶端（即IE或firefox）生成證書庫，以便讓服務(wù)器來驗證它。為了能將證書順利導(dǎo)入至IE和Firefox，證書庫格式應(yīng)該是PKCS12，即生成證書的時候storetype是PKCS12。 因此，使用如下命令生成：

? ? ? ? keytool -genkey -v -alias client -keyalg RSA -storetype PKCS12 -keystore D:\home\client.keys?

? ? ? ?客戶端的CN可以是任意值。

（2）在客戶端安裝證書庫。注意：不能導(dǎo)入.cer或者.crt格式文件，因為它會把這些文件當(dāng)做服務(wù)端的認(rèn)證文件，單向認(rèn)證自動安裝。

　　 ?打開IE->工具->內(nèi)容->證書->個人->導(dǎo)入->選擇任意文件?D:\home\client.keys ->輸入密鑰。一定要存在個人區(qū)。可以參考《 http://www.linuxyw.com/a/WEBfuwu/20130530/516.html 》

（3）讓服務(wù)端信任客戶端證書，由于不能直接將PKCS12格式的證書庫導(dǎo)入，必須先把服務(wù)器證書導(dǎo)出為一個單獨的.cer或.crt文件，

? ? ? ? 導(dǎo)出的客戶端證書導(dǎo)入服務(wù)端受信任的證書庫，該命令表示服務(wù)器端信任該證書，命令：keytool -import -alias tomcatsso -file?D:\home\client.cer?-keystore?D:\home\client.trustkeys ，不必先建client.trustkeys庫；

? ? ? ? 或者導(dǎo)入默認(rèn)的服務(wù)器端信任證書庫，命令：keytool -import -alias tomcatsso -file D:\home\client.cer?-keystore "%java_home%/jre/lib/security/cacerts" -storepass changeit

這里的java_home是tomcat使用的jdk的位置，"%java_home%/jre/lib/security/cacerts"的?cacerts是個無后綴文件，表示服務(wù)器認(rèn)證客戶端時使用的根證書庫。?

?

參考文章：《keytool命令使用實例》? http://www.360doc.com/content/10/0121/10/633992_14065815.shtml

? ? ? ? ? ? ? ? 《使用key配置https》 ? ? http://www.blogjava.net/stevenjohn/archive/2012/08/22/385989.html

?

?

?

?

tomcat------https單向認(rèn)證和雙向認(rèn)證