如何在本地配置https服务器
1找到jdk安装目录,运行控制台,切换到该目录;
2使用keytool为tomcat生成证书;
keytool -genkey -v -alias tomcat -keyalg RSA -keystore tomcatkeystore -validity 36500
3为客户端生成证书;
keytool -genkey -v -alias huawei -keyalg RSA -storetype PKCS12 -keystore huaweitestp12 -validity 36500
4将huaweitestp12导入到tomcat的信任证书链中
keytool-export -alias huawei -keystore huaweitestp12 -storetype PKCS12 -rfc -filehuaweitestcer
keytool-import -alias huawei -v -file huaweitestcer -keystore tomcatkeystore
5从tomcat的证书链里导出跟证书
keytool-export -v -alias tomcat -file CAcer-keystore tomcatkeystore
6将华为的outgoingCertpem导入tomcat的信任证书链
keytool -import -v -file outgoingCertpem -alias huawei -keystore tomcatkeystore
7将华为的capem导入tomcat的信任证书链
keytool -import -v -file capem -alias huawei_ca -keystore tomcatkeystore
8配置tomcat
双向认证:
<Connector port="28443"
protocol="orgapachecoyotehttp11Http11NioProtocol"
scheme="https" secure="true"
keystoreFile="conf/keys/tomcatkeystore" keystorePass="123$%^"
truststoreFile="conf/keys/tomcatkeystore" truststorePass="123$%^"
clientAuth="true" sslProtocol="TLS"
maxThreads="150" SSLEnabled="true">
单向认证:
<Connector port="28443"
protocol="orgapachecoyotehttp11Http11NioProtocol"
scheme="https" secure="true"
keystoreFile="conf/keys/tomcatkeystore" keystorePass="123$%^"
clientAuth="false" sslProtocol="TLS"
maxThreads="150" SSLEnabled="true">
9配置完后,可以在本地验证配置是否成功。
在服务器上进行格式转换成pem格式
openssl x509 -inform der -in CAcer -out capem
通过以下命令模拟与应用服务器建链
单向认证模拟建链:
openssl s_client -connect ip:port -tls1 -CAfile capem
双向认证模拟建链:
openssl s_client -connect ip:port -cert huaweitestpem -CAfile CApem -tls1
10将生成的huaweitestp12和CAcer证书发给华为接口人。
0条评论