原理:
将证书(也可以叫公钥)+私钥转化成 jks类型的keystore文件,在tomcat的server.xml中配置开启
踩坑:
1、多数文章都是针对自己生成证书,配置双向加密,其过程有生成,合并,导出,配置服务端,配置客户端等等,看的一塌糊涂
2、多数文章都是以实验为参考,误以为生成的keystore文件名可以随意命名,直接使用拷贝命令的方式生成了一个tomcat.keystore文件
正确的命令方式应该是(证书名.keystore),或者说是生成证书时的CN名称
3、clientAuth="true"这个是给双向认证的时候用的,需要配置成false
4、开始配置使用tomcat.keystore这个名称的时候,用内网浏览器访问的时候是正常,但是接下来使用公网通过真正申请证书那个域名访问的时候就访问不了
然后查找原因,各种测试,各种修改配置,内网浏览器测试也访问不了,这里个人猜测是开始的时候tomcat认为配置了一个证书,然后按照规则提供了访问
但是后来使用真正域名访问的时候,tomcat接收了一个证书内容和自己的一样,但是名称或者是说CN名称不一致,然后tomcat就不在提供服务了
过程:
1、将证书转为keystore形式,中间转换成p12的名字可以随意
a、先转为p12格式
openssl pkcs12 -export -in ./www.123.com.cn.cer -inkey ./server.key -out ./projectX.p12
记住输入的密码
b、将p12转为.keystore格式
keytool -importkeystore -v -srckeystore ./projectX.p12 -srcstoretype pkcs12 -srcstorepass 123456 -destkeystore ./www.123.com.cn.keystore -deststoretype jks -deststorepass 123456
2、配置tomcat下server.xml文件
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="/usr/local/cert/www.123.com.cn.keystore.keystore"
keystorePass="123456" />
原文地址:https://blog.51cto.com/19840202/2454950