linux系統(tǒng)下配置tomcat 服務(wù)端https加密

原理：
將證書（也可以叫公鑰）+私鑰轉(zhuǎn)化成 jks類型的keystore文件，在tomcat的server.xml中配置開啟
踩坑：
1、多數(shù)文章都是針對(duì)自己生成證書，配置雙向加密，其過程有生成，合并，導(dǎo)出，配置服務(wù)端，配置客戶端等等，看的一塌糊涂
2、多數(shù)文章都是以實(shí)驗(yàn)為參考，誤以為生成的keystore文件名可以隨意命名，直接使用拷貝命令的方式生成了一個(gè)tomcat.keystore文件
正確的命令方式應(yīng)該是（證書名.keystore），或者說是生成證書時(shí)的CN名稱
3、clientAuth="true"這個(gè)是給雙向認(rèn)證的時(shí)候用的，需要配置成false
4、開始配置使用tomcat.keystore這個(gè)名稱的時(shí)候，用內(nèi)網(wǎng)瀏覽器訪問的時(shí)候是正常，但是接下來使用公網(wǎng)通過真正申請(qǐng)證書那個(gè)域名訪問的時(shí)候就訪問不了
然后查找原因，各種測(cè)試，各種修改配置，內(nèi)網(wǎng)瀏覽器測(cè)試也訪問不了，這里個(gè)人猜測(cè)是開始的時(shí)候tomcat認(rèn)為配置了一個(gè)證書，然后按照規(guī)則提供了訪問
但是后來使用真正域名訪問的時(shí)候，tomcat接收了一個(gè)證書內(nèi)容和自己的一樣，但是名稱或者是說CN名稱不一致，然后tomcat就不在提供服務(wù)了

過程：
1、將證書轉(zhuǎn)為keystore形式，中間轉(zhuǎn)換成p12的名字可以隨意
a、先轉(zhuǎn)為p12格式
openssl pkcs12 -export -in ./www.123.com.cn.cer -inkey ./server.key -out ./projectX.p12
記住輸入的密碼
b、將p12轉(zhuǎn)為.keystore格式
keytool -importkeystore -v -srckeystore ./projectX.p12 -srcstoretype pkcs12 -srcstorepass 123456 -destkeystore ./www.123.com.cn.keystore -deststoretype jks -deststorepass 123456
2、配置tomcat下server.xml文件
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="/usr/local/cert/www.123.com.cn.keystore.keystore"
keystorePass="123456" />