在Tomcat6中实现https双向安全验证

https双向安全验证保证了客户端和服务端都是可信的

具体步骤如下:

1.生成服务器端证书

   C:\> keytool -genkey -keyalg RSA -dname "cn=localhost,ou=java,o=software,l=hangzhou,st=zhejiang,c=cn" -alias server -keypass password -keystore server.jks -storepass password -validity 3650 

 
2.生成客户端证书

  C:\>keytool -genkey -keyalg RSA -dname "cn=localhost,ou=java,o=software,l=hangzh
ou,st=zhejiang,c=cn" -alias client -storetype PKCS12 -keypass password -keystore
 client.p12 -storepass password -validity 3650

3.由于是双向SSL认证，服务器必须要信任客户端证书，因此，必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入，我们必须先把客户端证书导出为一个单独的CER文件，使用如下命令，先把客户端证书导出为一个单独的cer文件：

  C:\>keytool -export -alias client -file client.cer -keystore client.p12 -storepa
ss password -storetype PKCS12 -rfc

  然后，添加客户端证书到服务器中（将已签名数字证书导入密钥库）
C:\>keytool -import -v -alias client -file client.cer -keystore server.jks -stor
epass password

4.修改server.xml文件,加入

    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="true" sslProtocol="TLS" keystoreFile="C:/server.jks" keystorePass="password" truststoreFile="C:/server.jks" truststorePass="password"/>

5.导入客户端证书到浏览器
  双向认证需要强制验证客户端证书。双击“client.p12”即可将证书导入至IE

6.通过https://localhost:8443访问应用