tomcat开启https

tomcat默认是不支持https访问的，（至少我下载的是这样）

如果需要打开，就修改%TOMCAT_HOME%/conf/server.xml文件，添加如下配置：

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
                  maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
                                                clientAuth="true" sslProtocol="TLS" 
                           keystoreFile="C:\\code\\tomcat.keystore" keystorePass="qweasdzxc"
		        truststoreFile="C:\\code\\tomcat.keystore" truststorePass="qweasdzxc"
			   />

   其中port是https访问的端口号，可以设置。

   cilientAuth是否开启客户端认证，如果为true则要求客户端持有证书秘钥才能访问服务器,即双向认证；

 keystoreFile为服务器证书库文件的路径，keystorePass是该证书库的密码；

 truststoreFile为信任的证书库文件路径，truststorePass为密码；

 

 所以为了能够使用https进行请求，还需要新建客户端和服务器的证书并存入证书库文件中，所幸jdk中   提供了生成证书的工具keytool.

 keytool命令属性介绍：

    

 

 这里因为我配置了环境变量所以我可以在根目录使用keytool命令，下面介绍如何生成证书。

 1、生成服务器证书

 命令中test为生成的一天证书的别名，RSA算法名称 keystore为文件路径，会生成文件，36500位证书有   效期限，以天为单位。

 执行命令后需要设置口令，就是密码。

 名称和姓氏需要输入你服务器的地址，这里我设置的时本地。

 下面的单位名称组织名称等可以不填写，

 确认所输入的内容，最后输入生成的服务器证书的秘钥口令，我这里输入了和服务器证书一样的口令，   都是qweasdzxc。

 

 成功后的文件：

   

  2、生成客户端证书

   基本上与服务器证书生成差不多，只不过这里设置了证书的格式和文件格式；

   这里的名称和姓氏可以随意填写，也可以不填。

  生成的文件：

 

  3、将客户端证书导入客户端（浏览器）

   双击testkey.p12文件导入证书，一直点击下一步，输入证书密码，完成导入。

 

  4、设置服务器端信任客户端证书

   由于是双向SSL认证，服务器必须要信任客户端证书，因此，必须把客户端证书添加为服务器的信任证。       因不能直接将PKCS12格式的证书库导入服务器证书库，将客户端证书导出为一个单独的cer文件。

   一、导出cer证书文件

    其中qweasdzxc为密码

   二、将cer文件导入到服务器证书库

   5、把服务器证书导出为cer文件，并且在客户端安装

6、在客户端中添加服务器端证书认证

      双击test.cer文件导入证书，点击安装证书，

   路径选择受信任的根证书颁发机构，完成导入。

 
   至此证书问题已经解决，只需要按照前面所说的将tomcat配置即可实现https访问，如果将cilientAuth设为       false，则客户端不需要安装证书即可访问服务器，如果将clientAuth设为true，则需要将服务器可信任的证     书导入到浏览器，就可以实现与服务器通信，如果没有则会访问不到服务器。

 

   不过，在我将cilientAuth设为true，导入客户端证书，而且还是服务器端可信的证书时，使用谷歌和火狐     浏览器依然会出现不安全的链接，好像是因为我的证书颁发者和证书的所属单位导致的，这个需要进一步     实验，不过在除了这两个浏览器之外的360急速、360安全、edge、ie等浏览器显示的时安全链接。