前提條件：已經下載並安裝配置好Tomcat,訪問http://localhost:8080的時候會出現tomcat的介面。

第一步：配置hosts檔案

新增一行127.0.0.1 codecrazy.cn。這一步不是必要的，只是為了訪問的時候效果更好（逼格更高）一點。此時就可以通過http://codecrazy.cn:8080進行訪問了。

第二步：生成證書

這裡採用JDK自帶的keytool工具來生成。

如上圖所示，輸入紅框中的命令：

E:\Java\bin>keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -keypass changeit -validity 365
 
 -keystore e:\sms\tomcat.keystore -storepass changeit

之後需要填寫幾個問題，最後一個問題填入‘y’並回車。

執行上述命令之後會在e:\sms下面生成一個tomcat.keystore檔案，-keystore選項指定儲存位置和檔名。如果不指定的話會預設在使用者的主目錄下生成一個“.keystore”檔案，-storepass指定儲存密碼。 -keypass指定的庫密碼，這2個密碼不需要一樣。
具體keytool的用法請參見：http://www.micmiu.com/lang/java/keytool-start-guide/

注意事項：“您的名字與姓氏是什麼？”這個問題我寫的是“codecrazy.cn”,實踐表明

這個地方要填你訪問網站時的域名。我這裡填的是codecrazy.cn。如果沒配置hosts檔案，而是通過localhost來訪問網站，那就填localhost。剩下的幾個問題貌似隨便填也沒什麼關係。

第三步：生成證書之後再配置tomcat的conf目錄下的server.xml檔案

<!-- Define a SSL HTTP/1.1 Connector on port 8443
         This connector uses the BIO implementation that requires the JSSE
         style configuration. When using the APR/native
 
 implementation, the
         OpenSSL style configuration is required as described in the APR/native
         documentation -->
    <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               keystoreFile="E:\sms\tomcat.keystore" keystorePass="changeit"
               clientAuth="false" sslProtocol="TLS" />

port=8443這個Connector的配置初始情況下是註釋掉的，去掉註釋，並新增上述的一些屬性配置。其中keystoreFile填的就是之前用keytool生成的tomcat.keystore檔案的路徑，keystorePass就是之前keytool命令中-storepass選項中指定的值。
對於protocol有多種配置方法，如是否啟用apr的方式，不同的方式有不同的配置，具體可以參考官方文件http://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html

這裡我採用Http11Protocol，它採用的是BIO的方式處理網路連線請求。至於bio,nio,apr三種方式的區別是什麼不在本文討論之列。

然後啟動tomcat,在啟動過程輸出的資訊中可以看到多了一個監聽在8443埠上的連線處理器，如下圖所示：

在中間那一行出現了[“http-bio-8443”]這就是用來處理https安全連線的處理器的名字。8443代表的是在Connector中port指定的值，可以配置成其他的，生產環境中顯然是配置成預設的443埠。”http-bio-8443”中間的“bio”是因為我們上面配置的是org.apache.coyote.http11.Http11Protocol，它採用的就是bio的方式來處理網路連線請求。（最前面的“http”感覺輸出“https”比較合適一點）

此時通過https://codecrazy.cn:8443訪問tomcat還是沒有建立安全的連線，因為瀏覽器中並沒有安裝證書，https的原理以及如何通過CA認證等不在本文討論之列。本文采用的是一種叫做自簽名證書的方法。

第四步：通過keytool工具來從keystore中匯出證書來提供給瀏覽器使用

-keysotre選項指定的就是之前用keytool生成的keystore檔案的路徑， -file選項指定的就是匯出證書的檔案路徑，具體如何使用請參見上文提供的使用keytool工具的連結。命令執行完之後就會在e:\sms\目錄下面生成一個tomcat.crt的檔案。

第五步：將該檔案匯入到瀏覽器中

不同的瀏覽器會有略有差別。對於chrome瀏覽器來說，在位址列輸入chrome://settings/進入設定介面，再點選最下面的“顯示高階設定”然後往下找到

點選“管理證書”，*切換到如下圖紅框所示“受信任的根證書頒發機構”* tab頁

點選匯入，再點選下一步，選擇“瀏覽”找到我們上面生成的tomcat.crt檔案，然後一路“下一步”,最後完成。
至此大功告成。輸入https://codecrazy.cn:8443即可建立https連線。效果如下所示：

位址列https前面不再是紅叉了，而是變成了綠色的，說明已經建立了安全連線。整個過程中有任何疑問，歡迎留言討論。

以上觀點均是“實踐表明”，鑑於實踐的廣度和深度也許不足，不代表論述的正確性和權威性。如有不當之處，還望指正，謝謝！

您的關注是我不斷創作的動力源泉！期待認識更多的朋友，一起交流Java相關技術棧，共同進步！閱讀更多技術文章，可關注我的公眾號：codecrazy4j