重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
原理:
将证书(也可以叫公钥)+私钥转化成 jks类型的keystore文件,在tomcat的server.xml中配置开启
踩坑:
1、多数文章都是针对自己生成证书,配置双向加密,其过程有生成,合并,导出,配置服务端,配置客户端等等,看的一塌糊涂
2、多数文章都是以实验为参考,误以为生成的keystore文件名可以随意命名,直接使用拷贝命令的方式生成了一个tomcat.keystore文件
正确的命令方式应该是(证书名.keystore),或者说是生成证书时的CN名称
3、clientAuth="true"这个是给双向认证的时候用的,需要配置成false
4、开始配置使用tomcat.keystore这个名称的时候,用内网浏览器访问的时候是正常,但是接下来使用公网通过真正申请证书那个域名访问的时候就访问不了
然后查找原因,各种测试,各种修改配置,内网浏览器测试也访问不了,这里个人猜测是开始的时候tomcat认为配置了一个证书,然后按照规则提供了访问
但是后来使用真正域名访问的时候,tomcat接收了一个证书内容和自己的一样,但是名称或者是说CN名称不一致,然后tomcat就不在提供服务了
创新互联是一家专注于做网站、成都网站设计与策划设计,武义网站建设哪家好?创新互联做网站,专注于网站建设10余年,网设计领域的专业建站公司;建站业务涵盖:武义等地区。武义做网站价格咨询:028-86922220
过程:
1、将证书转为keystore形式,中间转换成p12的名字可以随意
a、先转为p12格式
openssl pkcs12 -export -in ./www.123.com.cn.cer -inkey ./server.key -out ./projectX.p12
记住输入的密码
b、将p12转为.keystore格式
keytool -importkeystore -v -srckeystore ./projectX.p12 -srcstoretype pkcs12 -srcstorepass 123456 -destkeystore ./www.123.com.cn.keystore -deststoretype jks -deststorepass 123456
2、配置tomcat下server.xml文件
clientAuth="false" sslProtocol="TLS"
keystoreFile="/usr/local/cert/www.123.com.cn.keystore.keystore"
keystorePass="123456" />