二、創(chuàng)建證書啰嗦幾句：證書是單點登錄認證系統(tǒng)中很重要的一把鑰匙，客戶端于服務器的交互安全靠的就是證書；本教程由于是演示所以就自己用JDK 自帶的keytool 工具生成證書；如果以后真正在產品環(huán)境中使

二、創(chuàng)建證書

啰嗦幾句：證書是單點登錄認證系統(tǒng)中很重要的一把鑰匙，客戶端于服務器的交互安全靠的就是證書；本教程由于是演示所以就自己用JDK 自帶的keytool 工具生成證書；如果以后真正在產品環(huán)境中使用肯定要去證書提供商去購買，證書認證一般都是由VeriSign 認證， 中文官方網站：

1. 用JDK 自帶的keytool 工具生成證書：

命令：keytool -genkey -alias wsria -keyalg RSA -keystore d:/keys/wsriakey 無圖不給力，有圖有真相：

用keytool 生成證書

具體的輸入項圖片中都有說明，有一點我要解釋一下；在輸入完密碼后提示輸入域名是我輸入的是sso.wsria.com ，其實這個域名是不存在的，但是我為了演示所以虛擬了這個域名，技巧在于修改C:WindowsSystem32driversetchosts，添加內容如下：

127.0.0.1 sso.wsria.com

這樣在訪問sso.wsria.com 的時候其實是訪問的127.0.0.1也就是本機

嚴重提醒：提示輸入域名的時候不能輸入IP 地址

三、導出證書

命令：D:keys>keytool -export -file d:/keys/wsria.crt -alias wsria -keystore d:/keys/wsriakey

來點顏色：

使用keytool 導出證書

至此導出證書完成，可以分發(fā)給應用的JDK 使用了，接下來講解客戶端的JVM 怎么導入證書

四、為客戶端的JVM 導入證書

命令：keytool -import -keystore

D:toolsjdk1.6jdk1.6.0_20jrelibsecurity?certs -file D:/keys/wsria.crt -alias wsria

來點顏色瞧瞧：

為客戶端JVM 導入證書

特別說明

：D:toolsjdk1.6jdk1.6.0_20jrelibsecurity — 是jre 的目錄；密碼還是剛剛輸入的密碼。

至此證書的創(chuàng)建、導出、導入到客戶端JVM 都已完成，下面開始使用證書到Web 服務器中，本教程使用tomcat 。

五、應用證書到Web 服務器-Tomcat

說是應用起始做的事情就是啟用Web 服務器(Tomcat)的SSL ，也就是HTTPS 加密協(xié)議，為什么加密我就不用啰嗦了吧……

準備好一個干凈的tomcat ，本教程使用的apache-tomcat-6.0.29

打開tomcat 目錄的conf/server.xml文件，開啟83和87行的注釋代碼，并設置keystoreFile 、keystorePass 修改結果如下：

clientAuth ="false" sslProtocol ="TLS"

keystoreFile ="D:/keys/wsriakey"

keystorePass ="wsria.com"

/>

參數說明：

?

? keystoreFile ：在第一步創(chuàng)建的key 存放位置 keystorePass ：創(chuàng)建證書時的密碼

好了，到此Tomcat 的SSL 啟用完成，現在你可以啟動tomcat 試一下了，例如本教程輸入地址：https://sso.wsria.com:8443/

打開的是：