1、SSL雙向認(rèn)證證書(shū)制作流程含單向SSL一、 證書(shū)制作：1、 生成服務(wù)器密鑰（庫(kù)）：keytool -genkey -alias server -keyalg RSA -keysize 2048 -validity 3650 -dname CN=localhost,OU=DTY,O=BMC,L=Beijing,ST=Beijing,C=CN -keypass 123456 -keystore server.jks -storepass 123456CN：要簽名的域名或IP（說(shuō)明：此處為要配置SSL服務(wù)器IP或域名）OU：組織單位名稱(chēng)，如：公司注冊(cè)簡(jiǎn)稱(chēng)O：組織名稱(chēng)，如：公司英文全稱(chēng)L：城市或地區(qū)名

2、稱(chēng)，如：BeijingST：州或省份名稱(chēng)，如：BeijingC：?jiǎn)挝坏膬勺帜竾?guó)家代碼，如：CN2、 驗(yàn)證生成的服務(wù)器密鑰（庫(kù)）：keytool -list -v -keystore server.jks -storepass 1234563、 為步驟1生成的服務(wù)器密鑰（庫(kù)）創(chuàng)建自簽名的證書(shū)：keytool -selfcert -alias server -keystore server.jks -storepass 1234564、 驗(yàn)證生成的服務(wù)器密鑰（庫(kù)）：keytool -list -v -keystore server.jks -storepass 1234565、 導(dǎo)出自簽名證書(shū)：k

3、eytool -export -alias server -keystore server.jks -file server.cer -storepass 123456說(shuō)明：此證書(shū)為后續(xù)要導(dǎo)入到瀏覽器中的受信任的根證書(shū)頒發(fā)機(jī)構(gòu)。6、 生成客戶(hù)端密鑰（庫(kù)）：說(shuō)明：keytool genkey命令默認(rèn)生成的是keystore文件，但為了能順利導(dǎo)入到IE或其他瀏覽器中，文件格式應(yīng)為PKCS12。稍后，此P12文件將導(dǎo)入到IE或其他瀏覽器中。keytool -genkey -alias client -keyalg RSA -keysize 2048 -validity 3650 -dname CN=

4、localhost,OU=DTY,O=BMC,L=Beijing,ST=Beijing,C=CN -storetype PKCS12 -keypass 123456 -keystore client.p12 -storepass 123456CN：要簽名的域名或IP(特別說(shuō)明：這里是客戶(hù)端機(jī)構(gòu)的域名或IP)OU：組織單位名稱(chēng)，如：公司注冊(cè)簡(jiǎn)稱(chēng)O：組織名稱(chēng)，如：公司英文全稱(chēng)L：城市或地區(qū)名稱(chēng)，如：BeijingST：州或省份名稱(chēng)，如：BeijingC：?jiǎn)挝坏膬勺帜竾?guó)家代碼，如：CN7、 提取客戶(hù)端密鑰的公鑰：只有客戶(hù)端密鑰庫(kù)文件還不行，還需要一個(gè)證書(shū)文件。畢竟證書(shū)文件才是直接提供給外界的公鑰憑證

5、，因此需要將客戶(hù)端密鑰庫(kù)文件中的公鑰導(dǎo)入到某個(gè)證書(shū)文件中。keytool -export -alias client -keystore client.p12 -storetype PKCS12 -rfc -file client.cer -storepass 1234568、 將客戶(hù)端密鑰庫(kù)的公鑰導(dǎo)入到服務(wù)端密鑰庫(kù)中：keytool -import -v -file client.cer -keystore server.jks -storepass 1234569、 驗(yàn)證生成的服務(wù)器密鑰（庫(kù)）：keytool -list -v -keystore server.jks -storepass

6、 123456說(shuō)明：驗(yàn)證步驟8的公鑰是否導(dǎo)出成功。二、 證書(shū)導(dǎo)入：1、 導(dǎo)入客戶(hù)端密鑰（庫(kù)）：a) 對(duì)于IE瀏覽器，選擇Internet選項(xiàng)，則顯示如下:b) 點(diǎn)擊證書(shū)按鈕，顯示如下:c) 點(diǎn)擊導(dǎo)入，顯示如下：d) 點(diǎn)擊下一步，顯示如下：注意：選擇文件時(shí)，必須確認(rèn)文件格式為：e) 點(diǎn)擊下一步，并在密碼處鍵入，創(chuàng)建客戶(hù)端密鑰（庫(kù)）時(shí)所鍵入的密碼，這里是123456：f) 選擇下一步，顯示如下：選擇將所有的證書(shū)放入下列存儲(chǔ)(P)為：個(gè)人，然后點(diǎn)擊下一步，顯示如下：g) 單擊完成，顯示如下：?jiǎn)螕舸_定，自此客戶(hù)端密鑰（庫(kù)）導(dǎo)入瀏覽器的操作完成。2、 導(dǎo)入服務(wù)器密鑰（庫(kù)）受信任的根證書(shū)：a) 對(duì)于IE瀏

7、覽器，選擇Internet選項(xiàng)，則顯示如下：b) 點(diǎn)擊證書(shū)按鈕，顯示如下：c) 點(diǎn)擊導(dǎo)入，顯示如下：d) 點(diǎn)擊下一步，顯示如下：e) 選擇要導(dǎo)入的文件，這里我們選擇步驟5導(dǎo)出的server.cer證書(shū)，單擊下一步顯示如下：f) 選擇獎(jiǎng)所有的證書(shū)放入下列存儲(chǔ)：收信人的根證書(shū)頒發(fā)機(jī)構(gòu)，點(diǎn)擊下一步，顯示如下：g) 單擊完成，顯示如下：h) 由于我們是一個(gè)自簽名證書(shū)，所以windows會(huì)給出上面的安全提示，選擇“是”，顯示如下：?jiǎn)螕舸_定，自此服務(wù)器密鑰（庫(kù)）受信任的根證書(shū)導(dǎo)入瀏覽器的操作完成。三、 服務(wù)器配置SSL：說(shuō)明，服務(wù)器配置SSL因應(yīng)用服務(wù)器不同，其配置方法也不一樣，這里僅以tomcat6為例

8、：1、 配置雙向SSL：a) 將服務(wù)器密鑰（庫(kù)）文件放置在%TOMCATE_HOME%/onf下：b) 修改配置文件%TOMCATE_HOME%/onf/server.xml具體配置如下：參數(shù)說(shuō)明：clientAuth如果想要Tomcat為了使用這個(gè)socket而要求所有SSL客戶(hù)出示一個(gè)客戶(hù)證書(shū)，置該值為true。keystoreFile如果創(chuàng)建的keystore文件不在Tomcat認(rèn)為的缺省位置（一個(gè)在Tomcat運(yùn)行的home目錄下的叫.keystore的文件），則加上該屬性。可以指定一個(gè)絕對(duì)路徑或依賴(lài)$CATALINA_BASE環(huán)境變量的相對(duì)路徑。keystorePass如果使用了一個(gè)

9、與Tomcat預(yù)期不同的keystore（和證書(shū)）密碼（changeit），則加入該屬性。keystoreType如果使用了一個(gè)PKCS12 keystore，加入該屬性。有效值是JKS和PKCS12。sslProtocolsocket使用的加密/解密協(xié)議。如果使用的是Sun的JVM，則不建議改變這個(gè)值。據(jù)說(shuō)IBM的1.4.1版的TLS協(xié)議的實(shí)現(xiàn)和一些流行的瀏覽器不兼容。這種情況下，使用SSL。ciphers此socket允許使用的被逗號(hào)分隔的密碼列表。缺省情況下，可以使用任何可用的密碼。algorithm使用的X509算法。缺省為Sun的實(shí)現(xiàn)（SunX509）。對(duì)于IBM JVMS應(yīng)該使用ibmX509。對(duì)于其它JVM，參考JVM文檔取正確的值。truststoreFile用來(lái)驗(yàn)證客戶(hù)證書(shū)的trustStore文件。truststorePass訪(fǎng)問(wèn)trustStore使用的密碼。缺省值是keystorePass。truststoreType如果使用一個(gè)不同于正在使用的KeyStore的TrustStore格式，加入該屬性。有效值是JKS和PKCS12。2、 配置單向S