openssl for windows tomcat

 

-------------------

openssl for windows

-------------------

 

一、生成CA证书

1.生成私钥

openssl genrsa -des3 -out ca.key

 

2.创建证书请求

openssl req -new -out ca.csr -key ca.key -config openssl.cnf

 

3.自签署证书

openssl x509 -req -in ca.csr -out ca.crt -signkey ca.key -days 3650

 

4.将证书导出成浏览器支持的.p12格式

openssl pkcs12 -export -clcerts -in ca.crt -inkey ca.key -out ca.p12

 

 

二、生成server证书

 

1.创建私钥

openssl genrsa -out server.key 1024

 

2.创建证书请求

openssl req -new -out server.csr -key server.key -config openssl.cnf

 

3.自签署证书

openssl x509 -req -in server.csr -out server.crt -signkey server.key -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650

 

4.将证书导出成浏览器支持的.p12格式

openssl pkcs12 -export -clcerts -in server.crt -inkey server.key -out server.p12

 

 

三、生成client证书

 

1.创建私钥

openssl genrsa -out client.key 1024

 

2.创建证书请求

openssl req -new -out client.csr -key client.key -config openssl.cnf

 

3.自签署证书

openssl x509 -req -in client.csr -out client.crt -signkey client.key -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650

 

4.将证书导出成浏览器支持的.p12格式

openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

 

 

四、根据ca证书生成jks文件

keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file ca.crt

 

五、配置tomcat ssl,修改conf/server.xml

 

tomcat 5.5的配置:

<Connector port="8443" maxHttpHeaderSize="8192"

              maxThreads="150" minSpareThreads="25" maxSpareThreads="75"

              enableLookups="false" disableUploadTimeout="true"

              acceptCount="100" scheme="https" secure="true"

              clientAuth="true" sslProtocol="TLS"

              keystoreFile="server.p12" keystorePass="changeit" keystoreType="PKCS12"

              truststoreFile="truststore.jks" truststorePass="222222" truststoreType="JKS" />  

 

tomcat6.0的配置:

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

                maxThreads="150" scheme="https" secure="true"

                clientAuth="true" sslProtocol="TLS"

                keystoreFile="server.p12" keystorePass="changeit" keystoreType="PKCS12"

                truststoreFile="truststore.jks" truststorePass="222222" truststoreType="JKS"/>

 

六.导入证书

将ca.p12，client.p12分别导入到IE中去（打开IE->;Internet选项->内容->证书）

ca.p12导入至受信任的根证书颁发机构，client.p12导入至个人

 

七.验证ssl配置是否正确访问你的应用http://ip:8443/，如果配置正确的话会出现请求你数字证书的对话框。

 

转自：http://tieba.baidu.com/f?kz=611545344