证书存在服务器端，用户通过浏览器访问时，需要证书上下载保存到本地，表示信任服务器。同样浏览器中的证书也需要保存到服务器的证书库中，表明当前浏览器的证书是可信的。

Keytool是一个Java数据证书的管理工具，Keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中。在keystore里，包含两种数据：密钥实现(Key entity)--密钥(secret key)又或者是私钥和配对公钥(采用非对称加密)， 可信任的证书实体(trusted certificate entries)-只包含公钥。

第一步：为服务器生成密钥(包含密钥实体和可信任的证书实体两部分)

使用keytool为tomcat生成密钥，如果目标机器的域名"localhost", keystore文件存放位置

########################################################

例：

linuxidc@0718:apache-tomcat-6.0.41$ keytool -genkey -validity 36000 -alias tomcat -keyalg RSA -keystore keystore/tomcat.keystore

输入keystore密码：

再次输入新密码:

您的名字与姓氏是什么？

[Unknown]：  liqing

您的组织单位名称是什么？

[Unknown]：  test

您的组织名称是什么？

[Unknown]：  test

您所在的城市或区域名称是什么？

[Unknown]：  beijing

您所在的州或省份名称是什么？

[Unknown]：  beijing

该单位的两字母国家代码是什么

[Unknown]：  zh

CN=liqing, OU=test, O=test, L=beijing, ST=beijing, C=zh 正确吗？

[否]：  y

输入的主密码

(如果和 keystore 密码相同，按回车)：

linuxidc@0718:apache-tomcat-6.0.41$

########################################################

如果tomcat所在服务器的域名不是"localhost",应改成对应的域名，如“www.baidu.com”

-genkey 表示生成密钥

-validity 指定有效期，单位天，这里是36000天

-alias 指定密钥别名，这里是tomcat

-keyalg 指定密钥算法，这里是RSA

-keypass 指定密钥别名密码

-keysize 指定密钥长度字节数，如1024

-keystore 指定密钥文件存储位置和文件名

第二步：为客户端生成密钥

keytool -genkey命令默认是生成keystore文件，但是为了将证书大得导入到IE和Firefox，用storetype 指定文件格式为PKCS12

########################################################

例：

linuxidc@0718:apache-tomcat-6.0.41$ keytool -genkey -v -alias myKey -keyalg RSA -storetype PKCS12 -keystore keystore/myclient.p12 -dname "CN=MyKey,OU=cn,O=cn,L=cn,ST=cn,C=cn" -storepass 123456 -keypass 123456

正在为以下对象生成 1,024 位 RSA 密钥对和自签名证书 (SHA1withRSA)(有效期为 90 天):

CN=MyKey, OU=cn, O=cn, L=cn, ST=cn, C=cn

[正在存储 keystore/myclient.p12]

linuxidc@0718:apache-tomcat-6.0.41$

########################################################

之后，把myclient.p12证书导入到浏览器

第三步： 提取客户端证书的公钥

只是有了密钥库文件还不行，还需要一个证书文件。证书文件才是直接提供给外界使用的公钥凭证。将客户端密钥库文件的公钥导出到证书文件中。

########################################################

例：

linuxidc@0718:apache-tomcat-6.0.41$ keytool -export -alias myKey -keystore keystore/myclient.p12 -storetype PKCS12 -rfc -file keystore/myclient.cer

输入keystore密码：

保存在文件中的认证

linuxidc@0718:apache-tomcat-6.0.41$

#密码输入第二步设置密码：123456

########################################################

-export 将别名指定的密钥导出到证书文件

-keystore 指定keystore文件

-alias 需要导出的别名

-file 指向导出路径和证书文件名

-rfc 以文本格式输出，也就是以BASE64编码输出

由于是双向SSL认证，服务器必须要有客户端的公钥，因此，需要将上面的客户端证书文件(实际应用中，这个证书文件同CA认证中心生成提供)导入服务器证书中。

########################################################

例：

linuxidc@0718:apache-tomcat-6.0.41$ keytool -import -v -file keystore/myclient.cer -keystore keystore/tomcat.keystore

输入keystore密码：

所有者:CN=MyKey, OU=cn, O=cn, L=cn, ST=cn, C=cn

签发人:CN=MyKey, OU=cn, O=cn, L=cn, ST=cn, C=cn

序列号:5541e6db

有效期: Thu Apr 30 16:24:59 CST 2015 至Wed Jul 29 16:24:59 CST 2015

证书指纹:

MD5:83:4C:E9:3E:EC:40:BB:8D:BC:7F:95:04:C9:35:31:F1

SHA1:8C:A4:8E:A5:D1:3B:AD:D2:67:C9:1D:74:8B:E9:ED:70:6A:16:6C:58

签名算法名称:SHA1withRSA

版本: 3

信任这个认证？ [否]：  y

认证已添加至keystore中

[正在存储 keystore/tomcat.keystore]

linuxidc@0718:apache-tomcat-6.0.41$

#密码输入第二步设置密码：123456

########################################################

通过list命令查看服务器的证书库，我们可以看到两条记录，一个服务器的证书，一个是受創作的客户端证书：

keytool -list -v -keystore keystore/tomcat.keystore -storepass 123456

第四步：配置tomcat服务器

打开tomcat主目录下的conf/server.xml,找到下面几行，去掉修改为:

maxThreads="150" scheme="https" secure="true"

clientAuth="true" sslProtocol="TLS"

keystoreFile="/home/ccdtlinuxidc/workspace/Servers/apache-tomcat-6.0.41/keystore/tomcat.keystore" keystorePass="123456"

truststoreFile="/home/ccdtlinuxidc/workspace/Servers/apache-tomcat-6.0.41/keystore/tomcat.keystore" keystorePass="123456" />

第五步： 导入客户端证书

将myclient.p12证书导入浏览器

第六步： 重启tomcat服务

bin/shutdown.sh

bin/startup.sh

在浏览器地址栏中输入https://localhost:8443/便可访问