keytool简单使用和tomcat双向认证

keytool命令
1.生产密钥,并保存到指定keystore中
keytool -genkey -keyalg RSA -alias xj -keysize 1024  -keystore myKeystore

2.查看keystore里面证书
keytool -v -list -alias test -keystore mykeystore    查看指定证书
keytool -v -list -keystore mykeystore            查看所有证书

3.从keystore里面到出证书
keytool -export -alias test -file test.cer -keystore xj.store
keytool -export -alias test -file test.cer -keystore xj.store -rfc

4.导入证书到keystore
keytool -import -alias test -file test.cer -keystore xj.store

5.删除证书从keystore
keytool -delete -alias test -keystore xj.store

6.用证书签名证书
keytool  -certreq -v -alias singcert -file test.cer -keystore xj.store




实现tomcat双向认证过程
1   openssl req -new -x509 -days 18900 -sha1 -newkey rsa:1024 -keyout mas_ca.key -out mas_ca.crt        
创建mas私钥和跟根证书(这个应该不由自己创建)  

2   keytool -genkey -validity 3650 -keyalg RSA  -alias server -keysize 1024 -keystore tomcat.store      
创建服务器证书cn要和域名一样 在keystore是keyentry

3   keytool -certreq -alias server -sigalg MD5withRSA -file server.csr -keystore tomcat.store           
创建服务证书请求

4   openssl ca -in server.csr -out tomcat_server.crt -notext -cert mas_ca.crt -keyfile mas_ca.key -config openssl.cnf    
用ca证书和私钥签名服务器证书请求(一般由CA中心认证)
    openssl ca -in server.csr -out tomcat_server.crt -notext -config openssl.cnf                        
这个是使用openssl中配置的ca证书
5   keytool -import -v -trustcacerts -alias mas_ca -file mas_ca.crt -keystore tomcat.store              
把ca导入到keystore,当作信任证书 在keystore是trustedCertEntry

6   keytool -import -v -file tomcat_server.crt -alias server -keystore tomcat.store
把服务器导入到keystore,此时的keyEntry是有证书链的.如果直接使用keytool的import类型为trustedCertEntry,使用keytool的genkey这时是keyEntry,但是没有证书链,如果要要有证书链可以如上,先签名后用ca认证,再导入ca证书,再import

tomcat server.xml配置
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS"
               keystoreFile="conf/tomcat.store" keystorePass="mas123"
               truststoreFile="conf/tomcat.store" truststorePass="mas123"/>