openssl genrsa -des3 -out localhost 2048
生成一個私鑰。使用HTTPS運行Web服務器所需的是私鑰和證書。您需要一個步驟來生成證書。
您可以使用2種幾乎完全不同的方法在Tomcat中配置HTTPS,具體取決於您是否使用APR連接器。
如果您使用的是APR connector,使用OpenSSL生成密鑰/證書是有意義的,因爲它是它所期望的格式。 (如果自簽名證書足以滿足您的環境,有許多教程可用於生成OpenSSL自簽名證書。)
If you're not using APR,您必須將使用OpenSSL生成的keys/cert轉換爲keystore您的JRE支持的格式。來自OpenSSL,將您的私鑰+證書轉換爲PKCS#12存儲(.p12
)通常最簡單:直接通過Oracle/OpenJDK以PKCS12
密鑰庫類型支持。 (您可以將PKCS#12文件轉換爲JKS存儲,但這不是必需的。)
但是,如果您還沒有任何密鑰/證書,那麼爲Tomcat生成自簽名證書的最簡單方法直接使用keytool
。這將產生一個JKS
密鑰庫,這是默認類型。 keytool -genkey
不僅生成密鑰/對並足以生成CSR,而且還將自簽名證書關聯(至少暫時直到您導入來自CA的證書(如有必要))。
這是不正確的。首先,這取決於你是否使用APR。其次,默認的密鑰庫類型仍然是JKS。原則上,可以使用其中一個安全提供程序支持的任何密鑰庫類型,因此它取決於提供程序。在Oracle/OpenJDK上(使用Sun提供程序),可以使用JKS,PKCS#12,PKCS#11和NSS。 – Bruno 2012-04-09 14:23:49