CA证书服务端配置(keytool, tomcat)

1、生成证书。
看网上很多人用openssl，下载了一下看安装，发现实在是麻烦，而且没有图形界面，所以就放弃了，于是剩下的就是漫长是搜索，终于找到了一款有图形界面的生成工具，非常好，嘎嘎

工具名称是SecureX，算是一个Eclipse的插件，只需要在Eclipse的插件更新的地方增加一个http://securex.sourceforge.net/updatesite/的地址，然后下载就好了，十几m很快就搞定了。

然后就是运行工具了，安装之后会在Eclipse的菜单上增加一个secureX的菜单，选择，点keyTool，就会弹出个窗口。
选菜单文件---新建keystore,选择JKS
选菜单操作---生成密钥对，选RSA，然后就是输入信息，特别重要的是Common Name的输入，这个是发布的服务器的ip地址哦。输入别名，这个是keyAlias的值。输入密码，这个随便输入了，别忘记就行
选择菜单文件----保存keystore，属性保存的名称，这个是私钥，放在服务器这边的，推荐server.store，一定输入后缀。

在列表中选中keystore，右键选择导出，选择单个证书，然后起个名字保存即可

然后再选择菜单文件---新建keystore，选择JKS
选择操作----导入信任证书，选择刚才导出的证书
选择文件----保存keystore，属性保存的名称，这个是公钥，放在客户端的，推荐client.store，一定输入后缀。

1、配置tomcat服务器
英文好就去看官网的Tomcat-ssl配置指南：
http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html

不好的就在tomcat_home/conf/server.xml中的<Service></Service>之间加入

<Connector port="8443" maxHttpHeaderSize="8192" 
			   maxThreads="150" minSpareThreads="25" maxSpareThreads="75" 
			   enableLookups="false" disableUploadTimeout="true" acceptCount="100" 
			   scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" 
			   keystoreFile="目录\server.store" keystorePass="密码" keystoreType="jks" keyAlias="localhost" 
			   truststoreFile="目录\server.store" truststorePass="密码" truststoreType="jks"/>

2、配置自己的工程
在web.xml加入

<security-constraint>
		<web-resource-collection>
			<web-resource-name>Protected Context</web-resource-name>
			<url-pattern>/*</url-pattern>
		</web-resource-collection>
		<user-data-constraint>
			<transport-guarantee>CONFIDENTIAL</transport-guarantee>
		</user-data-constraint>
	</security-constraint>

这样就强制所有访问的url都是用https了，也可以限制部分url，修改<url-pattern>/*</url-pattern>就可以了