二、創(chuàng)建證書啰嗦幾句：證書是單點登錄認(rèn)證系統(tǒng)中很重要的一把鑰匙，客戶端于服務(wù)器的交互安全靠的就是證書；本教程由于是演示所以就自己用JDK 自帶的keytool 工具生成證書；如果以后真正在產(chǎn)品環(huán)境中使

二、創(chuàng)建證書

啰嗦幾句：證書是單點登錄認(rèn)證系統(tǒng)中很重要的一把鑰匙，客戶端于服務(wù)器的交互安全靠的就是證書；本教程由于是演示所以就自己用JDK 自帶的keytool 工具生成證書；如果以后真正在產(chǎn)品環(huán)境中使用肯定要去證書提供商去購買，證書認(rèn)證一般都是由VeriSign 認(rèn)證， 中文官方網(wǎng)站：

1. 用JDK 自帶的keytool 工具生成證書：

命令：keytool -genkey -alias wsria -keyalg RSA -keystore d:/keys/wsriakey 無圖不給力，有圖有真相：

用keytool 生成證書

具體的輸入項圖片中都有說明，有一點我要解釋一下；在輸入完密碼后提示輸入域名是我輸入的是sso.wsria.com ，其實這個域名是不存在的，但是我為了演示所以虛擬了這個域名，技巧在于修改C:WindowsSystem32driversetchosts，添加內(nèi)容如下：

127.0.0.1 sso.wsria.com

這樣在訪問sso.wsria.com 的時候其實是訪問的127.0.0.1也就是本機

嚴(yán)重提醒：提示輸入域名的時候不能輸入IP 地址

三、導(dǎo)出證書

命令：D:keys>keytool -export -file d:/keys/wsria.crt -alias wsria -keystore d:/keys/wsriakey

來點顏色：

使用keytool 導(dǎo)出證書

至此導(dǎo)出證書完成，可以分發(fā)給應(yīng)用的JDK 使用了，接下來講解客戶端的JVM 怎么導(dǎo)入證書

四、為客戶端的JVM 導(dǎo)入證書

命令：keytool -import -keystore

D:toolsjdk1.6jdk1.6.0_20jrelibsecurity?certs -file D:/keys/wsria.crt -alias wsria

來點顏色瞧瞧：

為客戶端JVM 導(dǎo)入證書

特別說明

：D:toolsjdk1.6jdk1.6.0_20jrelibsecurity — 是jre 的目錄；密碼還是剛剛輸入的密碼。

至此證書的創(chuàng)建、導(dǎo)出、導(dǎo)入到客戶端JVM 都已完成，下面開始使用證書到Web 服務(wù)器中，本教程使用tomcat 。

五、應(yīng)用證書到Web 服務(wù)器-Tomcat

說是應(yīng)用起始做的事情就是啟用Web 服務(wù)器(Tomcat)的SSL ，也就是HTTPS 加密協(xié)議，為什么加密我就不用啰嗦了吧……

準(zhǔn)備好一個干凈的tomcat ，本教程使用的apache-tomcat-6.0.29

打開tomcat 目錄的conf/server.xml文件，開啟83和87行的注釋代碼，并設(shè)置keystoreFile 、keystorePass 修改結(jié)果如下：

clientAuth ="false" sslProtocol ="TLS"

keystoreFile ="D:/keys/wsriakey"

keystorePass ="wsria.com"

/>

參數(shù)說明：

?

? keystoreFile ：在第一步創(chuàng)建的key 存放位置 keystorePass ：創(chuàng)建證書時的密碼

好了，到此Tomcat 的SSL 啟用完成，現(xiàn)在你可以啟動tomcat 試一下了，例如本教程輸入地址：https://sso.wsria.com:8443/

打開的是：