HTTPS证书生成指导

1. 生成服务端密钥文件
登录服务器打开一个CMD窗口（开始菜单 -> 运行输入cmd后回车）并切换到tomcat安装目录下（如：c:\tomcat-cas），执行如下命令：
keytool -genkey -alias casserver -keypass demosso -keyalg RSA -keystore casserver.keystore -validity 365

执行后，可以看到tomcat安装目录下生成了一个casserver.keystore文件。如下图：


说明：-alias指定别名为casserver；-keyalg指定RSA算法；-keypass指定私钥密码；-keystore指定密钥文件名称为casserver.keystore；-validity指定有效期为365天。另外提示的输入keystore密码应与-keypass指定的相同；您的名字与姓氏是CAS服务器使用的域名（不能是IP，也不能是localhost），其它项随意填。


B、“您的名字与姓氏是什么？”这是必填项，并且必须是TOMCAT部署主机的域名或者IP[如：gbcom.com 或者 10.1.25.251]（就是你将来要在浏览器中输入的访问地址），否则浏览器会弹出警告窗口，提示用户证书与所在域不匹配。在本地做开发测试时，应填入“localhost”
注意：服务器上如果有多个JDK，请确认环境变量中的JDK路径为tomcat所使用的JDK，如果不在环境变量中，也可切换到指定JDK的bin目录下执行命令；提示的输入keystore密码应与-keypass必须与指定的相同，否则后面tomcat启动会报IO异常（Cannot recover key）。

二、     生成服务端证书
根据以上生成的服务端的密钥文件可以导出服务端证书，执行以下命令：
keytool -export -alias casserver -storepass demosso -file casserver.cer -keystore casserver.keystore

执行后，可以看到tomcat安装目录下生成了一个casserver.cer文件。如下图：

说明：-alias指定别名为casserver；-storepass指定私钥为demosso；-file指定导出证书的文件名为casserver.cer；-keystore指定之前生成的密钥文件的文件名。注意：-alias和-storepass必须为生成casserver.keystore密钥文件时所指定的别名和密码，否则证书导出失败，报如下错误：

三、     导入证书文件到cacerts 密钥库文件
导入以上生成的服务端的证书文件到一个cacerts密钥库文件，执行以下命令：
keytool -import -trustcacerts -alias casserver-storepass demosso  -file casserver.cer–keystore cacerts

执行后，可以看到tomcat安装目录下生成了一个cacerts文件。如下图：