雙向認(rèn)證(個(gè)人理解)：

客戶端認(rèn)證：

客戶端通過(guò)瀏覽器訪問(wèn)某一網(wǎng)站時(shí)，如果該網(wǎng)站為HTTPS網(wǎng)站，瀏覽器會(huì)自動(dòng)檢測(cè)系統(tǒng)中是否存在該網(wǎng)站的信任證書(shū)，如果沒(méi)有信任證書(shū)，瀏覽器一般會(huì)拒絕訪問(wèn)，IE會(huì)有一個(gè)繼續(xù)訪問(wèn)的鏈接，但地址欄是紅色，給予用戶警示作用，即客戶端驗(yàn)證服務(wù)端并不是強(qiáng)制性的，可以沒(méi)有服務(wù)端的信任證書(shū)，當(dāng)然是否繼續(xù)訪問(wèn)完全取決于用戶自己。如何去除地址欄的紅色警告呢？后續(xù)會(huì)介紹導(dǎo)入服務(wù)端證書(shū)到瀏覽器的方法。

服務(wù)端認(rèn)證：

服務(wù)端需要獲取到客戶端通過(guò)瀏覽器發(fā)送過(guò)來(lái)的認(rèn)證證書(shū)，該證書(shū)在服務(wù)端的證書(shū)庫(kù)中已存在，僅僅是個(gè)匹配過(guò)程，匹配成功即通過(guò)認(rèn)證，可繼續(xù)訪問(wèn)網(wǎng)站資源，反之則無(wú)法顯示網(wǎng)頁(yè)，后續(xù)有截圖。

基本邏輯：

1、生成服務(wù)端密鑰庫(kù)并導(dǎo)出證書(shū)；

2、生成客戶端密鑰庫(kù)并導(dǎo)出證書(shū)；

3、根據(jù)服務(wù)端密鑰庫(kù)生成客戶端信任的證書(shū)；

4、將客戶端證書(shū)導(dǎo)入服務(wù)端密鑰庫(kù)；

5、將服務(wù)端證書(shū)導(dǎo)入瀏覽器。

構(gòu)建演示系統(tǒng)

演示環(huán)境：

JDK：1.8

Tomcat：apache-tomcat-8.0.15

開(kāi)發(fā)工具：MyEclipse 10

一、生成密鑰庫(kù)和證書(shū)

可參考以下密鑰生成腳本，根據(jù)實(shí)際情況做必要的修改，其中需要注意的是：服務(wù)端的密鑰庫(kù)參數(shù)“CN”必須與服務(wù)端的IP地址相同，否則會(huì)報(bào)錯(cuò)，客戶端的任意。

1、生成服務(wù)器證書(shū)庫(kù)

keytool -validity 365 -genkey -v -alias server -keyalg RSA -keystore F:/keys/server.keystore -dname "CN=127.0.0.1,OU=icesoft,O=icesoft,L=Haidian,ST=Beijing,c=cn" -storepass 123456 -keypass 123456

2、生成客戶端證書(shū)庫(kù)

keytool -validity 365 -genkeypair -v -alias client -keyalg RSA -storetype PKCS12 -keystore F:/keys/client.p12 -dname "CN=client,OU=icesoft,O=icesoft,L=Haidian,ST=Beijing,c=cn" -storepass 123456 -keypass 123456

3、從客戶端證書(shū)庫(kù)中導(dǎo)出客戶端證書(shū)

keytool -export -v -alias client -keystore F:/keys/client.p12 -storetype PKCS12 -storepass 123456 -rfc -file F:/keys/client.cer

4、從服務(wù)器證書(shū)庫(kù)中導(dǎo)出服務(wù)器證書(shū)

keytool -export -v -alias server -keystore F:/keys/server.keystore -storepass 123456 -rfc -file F:/keys/server.cer

5、生成客戶端信任證書(shū)庫(kù)(由服務(wù)端證書(shū)生成的證書(shū)庫(kù))

keytool -import -v -alias server -file F:/keys/server.cer -keystore F:/keys/client.truststore -storepass 123456

6、將客戶端證書(shū)導(dǎo)入到服務(wù)器證書(shū)庫(kù)(使得服務(wù)器信任客戶端證書(shū))

keytool -import -v -alias client -file F:/keys/client.cer -keystore F:/keys/server.keystore -storepass 123456

7、查看證書(shū)庫(kù)中的全部證書(shū)

keytool -list -keystore F:/keys/server.keystore -storepass 123456

二、Tomat配置

使用文本編輯器編輯${catalina.base}/conf/server.xml

找到Connector port="8443"的標(biāo)簽，取消注釋，并修改成如下：

maxThreads="150" scheme="https" secure="true"

clientAuth="true" sslProtocol="TLS"

keystoreFile="${catalina.base}/key/server.keystore" keystorePass="123456"

truststoreFile="${catalina.base}/key/server.keystore" truststorePass="123456"/>

備注：

keystoreFile：指定服務(wù)器密鑰庫(kù)，可以配置成絕對(duì)路徑，如“D:/key/server.keystore”，本例中是在Tomcat目錄中創(chuàng)建了一個(gè)名稱為key的文件夾，僅供參考。

keystorePass：密鑰庫(kù)生成時(shí)的密碼

truststoreFile：受信任密鑰庫(kù)，和密鑰庫(kù)相同即可

truststorePass：受信任密鑰庫(kù)密碼

使用瀏覽器訪問(wèn)：

將step.2(client.p12)雙擊，導(dǎo)入到個(gè)人證書(shū)。

完成之后就可以通過(guò) https://127.0.0.1:8443訪問(wèn)了

配置web.xml強(qiáng)制使用https訪問(wèn)

SSL

/*

CONFIDENTIAL

總結(jié)

以上是生活随笔為你收集整理的java 调用tomcat api,Tomcat采用双向认证https协议通过JavaAPI调用(一)配置SSL的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。