首先制作证书
windows中使用OpenSSL工具,我使用的是Win64OpenSSL_Light-1_0_2s,下载地址:http://slproweb.com/download/Win64OpenSSL_Light-1_0_2s.exe
制作根证书
1.创建根证书密钥文件(自己做CA)
openssl genrsa -out myca.key 1024
2.创建根证书的申请文件
openssl req -new -key myca.key -out myca.csr -days 365 -config C:usrlocalsslopenssl.cfg
3.创建一个自当前日期起为期一年的根证书
openssl x509 -req -days 365 -sha256 -extfile c:usrlocalsslopenssl.cfg -extensions v3_ca -signkey myca.key -in myca.csr -out myca.crt
制作service服务端证书
1.创建服务器证书密钥
openssl genrsa -out server.key 1024
2.创建服务器证书的申请文件
openssl req -new -key server.key -out server.csr -config c:usrlocalsslopenssl.cfg
3.创建自当前日期起有效期为期一年的服务器证书
openssl x509 -req -days 365 -sha256 -CA myca.crt -CAkey myca.key -CAcreateserial -extfile c:usrlocalsslopenssl.cfg -extensions v3_req -in server.csr -out server.crt
4.导出.p12文件
openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12 -name "server"
5.将.p12文件导入到keystore jks文件
keytool -importkeystore -v -srckeystore server.p12 -srcstoretype pkcs12 -srcstorepass 11111111 -destkeystore server.keystore -deststoretype jks -deststorepass 11111111
最后将生成的jks文件server.keystore 配置在tomcat安装目录下conf中的server.xml的https连接器中;然后再浏览器中导入根证书myca.crt
注意:在生成服务器证书(第3步)的时候,需要在文件openssl.cfg中配置subjectAltname=@alt_names,否则chrome会出现证书无效的情况
openssl.cfg中的部分配置如下所示,
[alt_names]
IP.1 = 127.0.0.1
IP.2 = 192.168.1.1
[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName=@alt_names
tomcat中配置
一.将证书复制到tomcat的conf配置文件夹下,本例中是将上面生成服务器证书的最后一步中生成的 server.keystore 证书,复制到conf文件夹下
二.修改tomcat的server.xml配置文件
<Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="443" /> <Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="443" /> <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" maxThreads="150" SSLEnabled="true" keystoreFile="conf/server.keystore" keystorePass="11111111"> </Connector>
三.修改tomcat的web.xml配置文件,在<web-app></web-app>节中最后添加下面一段配置,
<login-config> <!-- Authorization setting for SSL --> <auth-method>CLIENT-CERT</auth-method> <realm-name>Client Cert Users-only Area</realm-name> </login-config> <security-constraint> <!-- Authorization setting for SSL --> <web-resource-collection> <web-resource-name>SSL</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint>
spring boot 中配置https访问
首先,将刚刚获取的证书 放在项目根目录
然后修改yml配置文件
server:
port: 8443
tomcat:
port-header: HEAD,PUT,DELETE,OPTIONS,TRACE,COPY,SEARCH,PROPFIND
min-spare-threads: 20
max-threads: 500
uri-encoding: UTF-8
ssl:
key-store: zhangyu.keystore
key-store-type: JKS
key-store-password: 11111111
key-alias: server
注意标黄色背景的key-alias,应该是证书别名,是在上面生成服务器证书中的第5步
否则就会出现
Tomcat错误“Alias name tomcat does not identify a key entry”的错误
参考: