自签发数字证书生成及配置详解

本文档介绍了如何使用命令行工具keytool生成数字证书，包括服务端证书、客户端证书，并进行相应的配置，以确保HTTPS连接的安全性。 在IT领域，数字证书是网络安全的重要组成部分，它用于验证网络通信双方的身份，尤其是对于HTTPS协议，确保数据传输的加密和安全。数字证书通常由受信任的证书颁发机构（CA）签发，但在某些情况下，如本地测试或内部网络中，我们可以自签名生成这些证书。 在本文中，首先讲解了如何生成服务端证书。使用keytool工具，通过以下命令创建一个名为“tomcat”的RSA算法证书，存储在指定路径的keystore文件中，设置有效期为3650天，并定义了相应的密码： ```shell keytool -genkey -v -alias tomcat -keyalg RSA -keystore C:/self-file/server/tomcat.keystore -dname "CN=127.0.0.1,OU=zlj,O=zlj,L=Peking,ST=Peking,C=CN" -validity 3650 -storepass zljzlj -keypass zljzlj ``` 接着，生成客户端证书的过程类似，只是别名改为"client"，并创建PKCS12类型的keystore： ```shell keytool -genkey -v -alias client -keyalg RSA -storetype PKCS12 -keystore C:/self-file/client/client.p12 -dname "CN=client,OU=zlj,O=zlj,L=bj,ST=bj,C=CN" -validity 3650 -storepass client -keypass client ``` 然后，将客户端证书导出为cer文件，以便将其导入服务端的信任列表： ```shell keytool -export -alias client -keystore D:/self-file/client/client.p12 -storetype PKCS12 -storepass client -rfc -file D:/self-file/client/client.cer ``` 接下来，服务端需要导入客户端的证书以建立信任关系： ```shell keytool -import -alias client -v -file D:/self-file/client/client.cer -keystore D:/self-file/server/tomcat.keystore -storepass zljzlj ``` 同样，服务端证书也需要导出并导入到客户端的信任存储中，以确保客户端信任服务端： ```shell keytool -export -alias tomcat -keystore D:/self-file/server/tomcat.keystore -storepass zljzlj -rfc -file D:/self-file/server/tomcat.cer keytool -import -file D:/self-file/server/tomcat.cer -storepass zljzlj -keystore D:/self-file/client/client.truststore -alias tomcat –noprompt ``` 最后，为了确保Tomcat服务器只接受HTTPS连接，需要在`conf/server.xml`配置文件中添加安全约束（security-constraint），并设置传输保障（transport-guarantee）为"CONFIDENTIAL"，这意味着客户端必须使用SSL连接。 通过以上步骤，我们可以建立一个自签名的数字证书体系，实现服务器和客户端之间的安全通信。不过，由于这些证书未经权威CA签名，因此在实际浏览器中可能会出现不信任的警告。在生产环境中，建议使用正规CA签发的证书来确保最佳的用户体验和安全性。