使用jdk的keytool 生成CA證書的方法

一、CA證書生成設置總共分為以下5步：

步驟：

1、根據java的keytool生成CA根證書，放在服務器

2、根據服務器CA根證書導出客戶端證書

3、tomcat增加SSL配置

4、客戶端IE瀏覽器導入受信任客戶端證書

5、使用客戶端IE瀏覽器通過https協議訪問portal

第一步：cmd到jdk的bin目錄下執行 生成CA證書

keytool -genkey -alias "cdv" -keyalg "RSA" -keystore "c:\cdv.keystore" -dname "CN=10.7.4.68 , OU=CDV.COM , O=CDV, L=BEIJING, 
ST=BEIJING, C=CN" -keypass 0p-0p-0p- -storepass 0p-0p-0p- -validity 730

 

第二步：根據服務器CA根證書導出客戶端證書

執行keytool命令根據服務端證書導出客戶端證書。

keytool -export -file "c:\cdv.crt" -alias "cdv" -keystore "c:\cdv.keystore"

 

為了便於說明附錄上面配置的貼圖：

CN= 寫服務端的ip或域名，這個不能瞎寫，需和客戶端https訪問的ip或域名 一致 否則導致證書校驗失敗，OU= O= L= ST= C= 可以隨便寫，validity 是證書有效期 默認是 90天，730 等於2年

第三步： tomcat的server.xml加配置 

tomcat的server.xml加SSL配置。

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" keystoreFile="c:\cdv.keystore" keystorePass="0p-0p-0p-" />

 

 為了便於說明附錄上面配置的貼圖：

服務端證書位置 需 和 tomcat的server.xml 配置一致，根據服務端證書導出的 cdv.crt客戶端證書 需要導入到 客戶端 IE瀏覽器 的受信任證書中（因我們自己 並非 官方CA發行機構，需人為導入到受信任證書中）

第四步：向瀏覽器（IE）導入受信證書

 

查了下 阿里雲的CA授信價格 最便宜的是 1年5000（這錢太好掙了），CA 和 https 主要是銀行登錄、電子交易 這種 關鍵數據 傳輸加密用的多，其實一般的管理系統 沒必要用，用https 請求明顯比 http請求 慢

CA中心又稱CA機構，即證書授權中心(Certificate Authority )，或稱證書授權機構，作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。

相關理論知識自己百度

 

二、抓包對比 

8080端口抓包樣例

 

8443端口抓包樣例