打算給新開發的應用做https方式訪問，採用雙向認證的方式（即客戶端需要校驗伺服器端證書，伺服器端也需要校驗客戶端證書），在網上找了半天，都是東一句西一句的，沒有一個比較全的，經過一番周折，終於搭起來了。講講主要的思路：

1. 先給伺服器端與客戶端發證書（我用的是openssl）
2. 建立伺服器端的keystore，裡面包含伺服器端個人證書（帶私鑰）和可信任的CA根證書與客戶端證書。
3. 配置jetty.xml，設定https引數，包括埠號，keystore庫位置，truststore庫位置，口令，和雙向認證方式。

1、用openssl發證

#在當前目錄下建立openssl.cnf配置檔案，可從openssl安裝目錄下拷貝一份，主要修改string_mask，從nombstr改為utf8only

string_mask = utf8only

#建立根證書私鑰
openssl genrsa -des3 -out cakey.pem -passout pass:12345678 1024

#建立自簽名的根證書
openssl req -utf8 -new -x509 -days 7300 -key cakey.pem -passin pass:12345678 -out cacert.crt -config openssl.cnf -set_serial 1 -subj "/CN=XX證書中心/OU=XX證書中心/O=XXXX公司"

#建立伺服器的私鑰
#openssl genrsa -des3 -out server.key 1024

#建立伺服器的待簽證書
openssl req -utf8 -new -key server.key -days 7300 -out server.csr -passin pass:12345678 -passout pass:12345678 -subj /CN=localhost/OU=XX證書中心/O=XXXX公司

#簽發伺服器證書(pem格式)
openssl ca -utf8 -config openssl.cnf -passin pass:12345678 -batch -in server.csr -out server.crt

#生成帶私鑰的pkcs12格式伺服器證書
openssl pkcs12 -export -inkey server.key -in server.crt -out server.pfx -passin pass:12345678 -passout pass:12345678

#客戶端證書生成依照伺服器生成步驟再做一遍（注意，根證書不需要再次生成）。

2、匯入證書到keystore中

#匯入伺服器個人證書（帶私鑰）到keystore中
keytool -importkeystore -srckeystore server.pfx -srcstoretype PKCS12 -keystore server.jks -srcstorepass 12345678 -deststorepass 12345678

#匯入ca根證書和客戶端證書到可信任證書鏈中
keytool -import -keystore server.jks -keypass 12345678 -storepass 12345678 -alias ca -trustcacerts -file cacert.crt
keytool -import -keystore server.jks -keypass 12345678 -storepass 12345678 -alias client -trustcacerts -file client.der

3、jetty.xml的配置（精簡型，只執行一個應用，執行緒數也設定的很少）

<?xml version="1.0"?>
<!DOCTYPE Configure PUBLIC "-//Mort Bay Consulting//DTD Configure//EN" "http://jetty.mortbay.org/configure.dtd">

<Configure id="Server" class="org.mortbay.jetty.Server">
  <Set name="ThreadPool">
    <New class="org.mortbay.thread.BoundedThreadPool">
      <Set name="minThreads">1</Set>
      <Set name="maxThreads">5</Set>
    </New>
  </Set>

  <Call name="addConnector">
    <Arg>
      <New class="org.mortbay.jetty.security.SslSelectChannelConnector">
        <Set name="Port"><SystemProperty name="jetty.port" default="8443"/></Set>
        <Set name="maxIdleTime">30000</Set>
        <Set name="Acceptors">1</Set>
        <Set name="AcceptQueueSize">100</Set> 
        <Set name="keystore"><SystemProperty name="jetty.home" default="." />/etc/server.jks</Set>
        <Set name="password">12345678</Set>
        <Set name="keyPassword">password</Set>
        <Set name="truststore"><SystemProperty name="jetty.home" default="." />/etc/server.jks</Set>
        <Set name="trustPassword">12345678</Set>
        <Set name="needClientAuth">true</Set>
      </New>
    </Arg>
  </Call>

  <Set name="handler">
    <New id="Handlers" class="org.mortbay.jetty.handler.HandlerCollection">
      <Set name="handlers">
        <Array type="org.mortbay.jetty.Handler">
          <Item>
            <New class="org.mortbay.jetty.webapp.WebAppContext">
              <Set name="contextPath">/</Set>
              <Set name="resourceBase">webapp/</Set>
              <Call name="addServlet">
                <Arg>org.mortbay.jetty.servlet.DefaultServlet</Arg>
                <Arg>/</Arg>
              </Call>
            </New>
          </Item>
        </Array>
      </Set>
    </New>
  </Set>
</Configure>

配置好後，執行jetty，可在控制檯視窗輸出中看到啟動資訊。

4、瀏覽器中匯入根證書cacert.crt和客戶端證書client.pfx，然後訪問

http://localhost:8443/