https证书生成环境搭建配置（基于Tomcat和Nginx）

一、基于Tomcat、JDK内置密钥工具：

1、生成服务端证书库(keystore证书库文件)，用于客户端验证服务端的真实性

keytool -genkey -v -alias key_server -keyalg RSA -keystore e:\server.keystore -dname "CN=D-F005227,OU=youku,O=zhibohudong,L=beijing,ST=beijing,C=cn" -storepass Aa123 -keypass Aa123 -validity 36000

颁发者信息：

CN : 一般指本站点域名或站长姓名（common name）
OU : 组织单位名称（organization unit）
O : 组织名称（organization）
L : 城市或区域（location）
ST : 州或省份（state）
C : 两字母国家代码（country）

2、生成客户端证书(PKCS12文件)，用于双向认证中服务端验证客户端请求来源是否合法用户

keytool -genkey -v -alias key_client -keyalg RSA -storetype PKCS12 -keystore e:\client.p12 -dname "CN=D-F005227,OU=youku,O=zhibohudong,L=beijing,ST=beijing,C=cn" -storepass Bb123 -keypass Bb123 -validity 36000

3、让服务端信任客户端证书，将客户端证书导出为CER文件

keytool -export -alias key_client -keystore e:\client.p12 -storetype PKCS12 -storepass Bb123 -rfc -file e:\client.cer

4、将step 3中导出的客户端证书(CER文件)导入到step 1中的服务端证书库中，以完成信任绑定

keytool -import -v -file e:\client.cer -keystore e:\server.keystore -storepass Aa123

5、Tomcat服务器配置，支持https安全连接（SSL双向验证，clientAuth=true|false|want）
打开TOMCAT_HOME\conf\server.xml，在<Service name="Catalina">下新增：

<Connector port="4433" protocol="HTTP/1.1" SSLEnabled="true" 
    maxThreads="150" scheme="https" secure="true" clientAuth="true" 
    sslProtocol="TLS" keystoreFile="e:/server.keystore" keystorePass="Aa123" 
    truststoreFile="e:/server.keystore" truststorePass="Aa123"/>

6、让客户端导入证书，以便完成双向认证，正常访问

call e:/client.p12

7、导出服务端证书，安装在客户端（证书存储位置：授信任的根证书颁发机构），以便建立信任连接，保证客户端不会提示不信任的站点（如果服务端证书是经权威证书机构颁发，则无须执行该步骤）

keytool -export -alias key_server -keystore e:\server.keystore -storepass Aa123 -rfc -file e:\server.cer

call e:/server.cer

8、启动服务器，访问验证
输入地址：https://ip:4433，可爱的汤姆小猫出现了，且地址栏前面出现一把绿色的锁，OK，打完收工！


附：在开启双向SSL认证（clientAuth=true）时，使用Firefox浏览器访问会提示

这时需要手动按以下步骤导入客户端证书：

菜单 --> 工具 --> 选项 --> 高级 --> 证书 --> 查看证书 --> 您的证书 --> 导入 --> 选择client.p12 --> 输入客户端证书密钥 --> 提示导入成功 --> 确定 --> 刷新页面 --> over


二、基于Nginx、Linux下OpenSSL密钥工具

1、进入密钥、证书文件存放路径（自定义）

cd /etc/nginx/conf

2、生成2048位长的密钥，并用des3加密

openssl genrsa -des3 -nodes -out server.key 2048

-nodes 就是不需要密码，如果加密码则在nginx配置测试证书时会有问题

3、用step 2中生成的密钥来生成服务端证书请求文件

openssl req -new -key server.key -out server.csr

如果step 2中采用des3加密了，需要输入step 2设置的密码

颁发者信息：

  Country Name：两字母国家代码
  State or Province Name：州或省份
  Locality Name：城市或区域
  Organization Name：组织名称
  Organizational Unit Name：组织单位名称
  Email Address：邮件地址
  A challenge password：为证书设置密码
  An optional company name：公司名称（可不填写）

4、使用step 2中生成的密钥和step 3中生成的证书请求文件来生成服务端数字证书文件

openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt

5、Nginx配置

在http范围内增加如下配置

server {
    listen       80;
    server_name  localhost d-f005227;
    ssl on;
    ssl_certificate server.crt;
    ssl_certificate_key server.key;
    ssl_verify_client on;    # 开启客户端认证
    ssl_client_certificate client.crt;    # 客户端认证数字证书（生成方式省略）
    location / {
        proxy_pass http://localhost:8080 ;
    }
}