使用OpenSSL与keytool为Tomcat创建自签名SSL证书

"本文主要介绍了如何使用OpenSSL和keytool工具在Tomcat中配置自签名证书，以实现SSL加密通信。首先，通过OpenSSL生成根证书的私钥和自签名根证书，然后使用keytool创建Tomcat服务器的证书库文件和证书申请。整个过程包括了根证书的制作和Tomcat证书的生成与导入。" OpenSSL是开源的加密工具，它支持各种密码学算法和协议，可以用于生成和管理数字证书。在本文中，作者使用OpenSSL生成了一个自签名的根证书，这通常用于测试环境或者内部网络，因为自签名证书不受权威CA（证书颁发机构）的信任，但在本地验证是足够的。 生成根证书的步骤如下： 1. 使用`openssl genrsa`命令生成一个1024位的私钥文件`cakey.pem`。 2. 接着，使用`openssl req`生成证书申请文件`careq.csr`，在这个过程中需要提供一些基本信息，如组织名称、地理位置等。 3. 最后，使用`openssl x509`命令结合证书申请和私钥生成自签名的根证书`cacert.pem`，指定有效期为3650天。 keytool是Java开发工具包（JDK）自带的命令行工具，用于管理Java密钥库。在Tomcat中配置SSL，我们需要生成一个服务器证书并将其导入到Tomcat的密钥库中： 1. 使用`keytool genkey`命令创建一个名为`tomcat_server`的别名，生成一个使用RSA算法、1024位长度的密钥对，并设置有效期为1825天。同时，这个命令也会创建一个名为`tomcatkey.jks`的密钥库文件，其私钥密码和密钥库密码均为`123456`。 2. 在生成证书库文件后，还需要创建一个证书请求（CSR），这可以通过`keytool certreq`命令完成。不过，本文没有明确提及这个步骤，但通常这是在向CA申请证书时使用。 3. 自签名根证书生成后，需要将其导入到Tomcat的密钥库中，这可以通过`keytool import`命令实现，将`cacert.pem`添加到`tomcatkey.jks`中。 配置Tomcat以使用这个自签名证书，需要修改`conf/server.xml`文件中的`<Connector>`元素，添加SSL相关配置，如`keystoreFile`、`keystorePass`、`keyAlias`等属性，确保它们指向正确的密钥库文件和私钥别名。 通过OpenSSL和keytool的配合，我们可以为Tomcat配置自签名证书，以实现安全的HTTPS连接。虽然这个方法适用于测试和内部环境，但在生产环境中，建议使用由权威CA签发的证书，以获得浏览器的信任。