生成金鑰對，opensll版本1.1.1上，如何升級openssl檢視升級openssh文章：

openssl req -x509 -newkey rsa:4096 -sha256 -days 3650 -nodes -keyout ssl.key -out ssl.crt -subj "/CN=192.168.2.1"   -addext "subjectAltName=IP:192.168.2.1"

-new :說明生成證書請求檔案； -x509 :說明生成自簽名證書；-newkey：是指在生成證書請求或者自簽名證書的時候自動生成金鑰，然後生成的金鑰名稱由-keyout引數指定。；-days：證書有效時間；keyout：後面指定rsa:bits說明產生rsa非對稱金鑰，位數由bits指定；-out :指定生成的證書請求或者自簽名證書名稱； -nodes 非互動 ；-sha256 hash演算法 ；最後繫結伺服器ip，還可以繫結域名和dns，用逗號分開如ip：XXX.XXX.XXX.XXX,DNS=XXX.XXX.XXX.XXX

當前目錄下生成了ssl.key和ssl.crt檔案了，因為tomcat不識別crt檔案，所以還需要轉換：

openssl pkcs12 -export -in ssl.crt -inkey ssl.key -out tomcat.keystore -name tomcat  -passout pass:XXXXXXXXX

最後需要生成使用者登入的證書：

keytool -export -alias tomcat -keystore tomcat.keystore -rfc -file tomcat.cer