利用tomcat伺服器配置https雙向認證

步驟

1、為伺服器生成證書
進入控制檯，切換到%JAVA_HOME%/bin目錄，具體操作略。

使用keytool為Tomcat生成證書，假定目標機器的域名是“localhost”，keystore檔案想要存放在“D:\home\tomcat.keystore”，口令為“password”，使用如下命令生成：

keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\home\tomcat.keystore -validity 36500

(引數簡要說明：“D:\home\tomcat.keystore”含義是將證書檔案的儲存路徑，證書檔名稱是tomcat.keystore ；“-validity 36500”含義是證書有效期，36500表示100年，預設值是90天 “tomcat”為自定義證書名稱)。

在命令列填寫必要引數：
A、 輸入keystore密碼：此處需要輸入大於6個字元的字串。
B、 “您的名字與姓氏是什麼？”這是必填項，並且必須是TOMCAT部署主機的域名或者IP[如：gbcom.com 或者 10.1.25.251]（就是你將來要在瀏覽器中輸入的訪問地址），否則瀏覽器會彈出警告視窗，提示使用者證書與所在域不匹配。在本地做開發測試時，應填入“localhost”。
C、 你的組織單位名稱是什麼？”、“您的組織名稱是什麼？”、“您所在城市或區域名稱是什麼？”、“您所在的州或者省份名稱是什麼？”、“該單位的兩字母國家程式碼是什麼？”可以按照需要填寫也可以不填寫直接回車，在系統詢問“正確嗎？”時，對照輸入資訊，如果符合要求則使用鍵盤輸入字母“y”，否則輸入“n”重新填寫上面的資訊。
D、 輸入<tomcat>的主密碼，這項較為重要，會在tomcat配置檔案中使用，建議輸入與keystore的密碼一致，設定其它密碼也可以，完成上述輸入後，直接回車則在你在第二步中定義的位置找到生成的檔案。

2、為客戶端生成證書
為瀏覽器生成證書，以便讓伺服器來驗證它。為了能將證書順利匯入至IE和Firefox，證書格式應該是PKCS12，因此，使用如下命令生成：

keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore D:\home\mykey.p12

（mykey為自定義）。

對應的證書庫存放在“D:\home\mykey.p12”，客戶端的CN可以是任意值。雙擊mykey.p12檔案，即可將證書匯入至瀏覽器（客戶端）。

3、讓伺服器信任客戶端證書

由於是雙向SSL認證，伺服器必須要信任客戶端證書，因此，必須把客戶端證書新增為伺服器的信任認證。由於不能直接將PKCS12格式的證書庫匯入，必須先把客戶端證書匯出為一個單獨的CER檔案，使用如下命令：

keytool -export -alias mykey -keystore D:\home\mykey.p12 -storetype PKCS12 -storepass password -rfc -file D:\home\mykey.cer 

(mykey為自定義與客戶端定義的mykey要一致，password是你設定的密碼)。通過以上命令，客戶端證書就被我們匯出到“D:\home\mykey.cer”檔案了。

下一步，是將該檔案匯入到伺服器的證書庫，新增為一個信任證書使用命令如下：

keytool -import -v -file D:\home\mykey.cer -keystore D:\home\tomcat.keystore

通過list命令檢視伺服器的證書庫，可以看到兩個證書，一個是伺服器證書，一個是受信任的客戶端證書：

keytool -list -keystore D:\home\tomcat.keystore

 (tomcat為你設定伺服器端的證書名)。

4、讓客戶端信任伺服器證書

由於是雙向SSL認證，客戶端也要驗證伺服器證書，因此，必須把伺服器證書新增到瀏覽的“受信任的根證書頒發機構”。由於不能直接將keystore格式的證書庫匯入，必須先把伺服器證書匯出為一個單獨的CER檔案，使用如下命令：

keytool -keystore D:\home\tomcat.keystore -export -alias tomcat -file D:\home\tomcat.cer

 (tomcat為你設定伺服器端的證書名)。

通過以上命令，伺服器證書就被我們匯出到“D:\home\tomcat.cer”檔案了。雙擊tomcat.cer檔案，按照提示安裝證書，將證書填入到“受信任的根證書頒發機構”。

5、配置Tomcat伺服器

a、開啟tomcat配置檔案，如：D:/apache-tomcat-6.0.29/conf/server.xml，修改如下，

<Connector port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="8443" />

修改引數=>

<Connector port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="443" />

<!--
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
              maxThreads="150" scheme="https" secure="true"
              clientAuth="false" sslProtocol="TLS"/>
 -->

去掉註釋且修改引數=>

<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" keystoreFile="E:/tomcat.keystore" keystorePass="123456789"/>

keystoreFile、keystorePass 兩個引數，分別是證書檔案的位置和<tomcat>的主密碼，在證書檔案生成過程中做了設定

<!--
   <Connector port="8009" enableLookups="false" protocol="AJP/1.3" redirectPort="8443" />
-->

修改引數=>

<Connector port="8009" enableLookups="false" protocol="AJP/1.3" redirectPort="443" />

b、開啟D:/apache-tomcat-6.0.29/conf/web.xml，在該檔案</welcome-file-list>後面加上這樣一段：

<login-config> 
<!-- Authorization setting for SSL --> 
<auth-method>CLIENT-CERT</auth-method> 
<realm-name>Client Cert Users-only Area</realm-name> 
</login-config> 
<security-constraint> 
<!-- Authorization setting for SSL --> 
<web-resource-collection > 
<web-resource-name >SSL</web-resource-name> 
<url-pattern>/*</url-pattern> 
</web-resource-collection> 
<user-data-constraint> 
<transport-guarantee>CONFIDENTIAL</transport-guarantee> 
</user-data-constraint> 
</security-constraint>

測試

在瀏覽器中輸入:https://localhost:443/，會彈出選擇客戶端證書介面，點選“確定”，會進入tomcat主頁，位址列後會有“鎖”圖示，表示本次會話已經通過HTTPS雙向驗證，接下來的會話過程中所傳輸的資訊都已經過SSL資訊加密。

本問引用：http://www.cnblogs.com/luchangyou/p/6028067.html