條件：已經安裝jdk

1）使用cmd進入%JAVA_HOME%/bin目錄

2）執行命令

keytool -genkey -alias tomcat -keyalg RSA -keystore d:\tomcat.keystore -validity 36500

引數簡要說明：“F:\tomcat.keystore”含義是將證書檔案儲存在F盤，證書檔名稱是tomcat.keystore ；“-validity 36500”含義是證書有效期，36500表示100年，預設值是90天

3）備註：

l 在命令列填寫必要的引數：

A、輸入keystore密碼：此處需要輸入大於6個字元的字串

B、“您的名字與姓氏是什麼？”這是必填項，並且必須是TOMCAT部署主機的域名或者IP[如：gbcom.com 或者 10.1.25.251]，就是你將來要在瀏覽器中輸入的訪問地址

C、 “你的組織單位名稱是什麼？”、“您的組織名稱是什麼？”、“您所在城市或區域名稱是什麼？”、“您所在的州或者省份名稱是什麼？”、“該單位的兩字母國 家程式碼是什麼？”可以按照需要填寫也可以不填寫直接回車，在系統詢問“正確嗎？”時，對照輸入資訊，如果符合要求則使用鍵盤輸入字母“y”，否則輸入“n”重新填寫上面的資訊

D、輸入<tomcat>的主密碼，這項較為重要，會在tomcat配置檔案中使用，建議輸入與keystore的密碼一致，設定其它密碼也可以

l 完成上述輸入後，直接回車則在你在第二步中定義的位置找到生成的檔案

4) 建立自簽名的證書建立自簽名的證書的過程。

操作步驟使用JDK自帶的命令keytool建立自簽名證書。 

輸入建立keystore時輸入的密碼。 對keystore進行驗證。

驗證成功後，將證書匯出。 keytool -export -alias tomcat -keystore d:\tomcat.keystore -storepass Aa123456 -rfc -file d:\tomcat.cer

系統將根據前面的keystore檔案在當前目錄匯出一個cer檔案。

三、匯入證書到  受信任的根證書頒發機構

5）配置TOMCAT伺服器

（1） 如果你是在Windows環境中生成證書檔案，則需要將生成的證書tomcat.keystore拷貝到Tomcat將要引用的位置，假設tomcat的應用證書的路徑是“/etc/tomcat.keystore”，則需要將證書檔案拷貝到“etc/”下；如果是在Linux環境按照上述介紹的步驟生成證書檔案的話，此時證書檔案已經在“etc/”下。

（2）配置Tomcat，開啟$CATALINA_HOME/conf/server.xml，修改如下，

<!--

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

              maxThreads="150" scheme="https" secure="true"

              clientAuth="false" sslProtocol="TLS"/>

 -->

去掉註釋且修改引數=>

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

               maxThreads="150" scheme="https" secure="true"

               clientAuth="false" sslProtocol="TLS" keystoreFile="e:\tomcat.keystore" keystorePass="www.gbcom.com.cn"/>

註釋：標識為淡藍色的兩個引數，分別是證書檔案的位置和<tomcat>的主密碼，在證書檔案生成過程中做了設定

(3) 開啟$CATALINA_HOME/conf/web.xml，在該檔案末尾增加：

2.強制https訪問

在tomcat\conf\web.xml中的</welcome-file-list>後面加上這樣一段：
Java程式碼
    1. <login-config>
    2. <!-- Authorization setting for SSL -->
    3. <auth-method>CLIENT-CERT</auth-method>
    4. <realm-name>Client Cert Users-only Area</realm-name>
    5. </login-config>
    6. <security-constraint>
    7. <!-- Authorization setting for SSL -->
    8. <web-resource-collection >
    9. <web-resource-name >SSL</web-resource-name>
    10. <url-pattern>/*</url-pattern>
    11. </web-resource-collection>
    12. <user-data-constraint>
    13. <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    14. </user-data-constraint>
    15. </security-constraint>

3、上述配置完成後，重啟TOMCAT後即可以使用SSL。IE位址列中可以直接輸入地址不必輸入“http://” 或者 “https://” ；也可以輸入 “http:// ” 會跳轉成為 “https://” 來登入

4、注意事項：

（1） 生成證書的時間，如果IE客戶端所在機器的時間早於證書生效時間，或者晚於有效時間，IE會提示“該安全證書已到期或還未生效”

（2） 如果IE提示“安全證書上的名稱無效或者與站點名稱不匹配”，則是由生成證書時填寫的伺服器所在主機的域名“您的名字與姓氏是什麼？”/“What is your first and last name?”不正確引起的

四、客戶端下載證書方法：

1）用瀏覽器訪問伺服器url，點選rul前的小鎖，點選詳細資訊，點選右側選單欄中的View certificate，點選詳細資訊那一欄，點選複製到檔案，選擇儲存路徑同時命名.cer檔案。

2）在電腦中找到儲存的.cer檔案，雙擊.cer檔案，安裝證書，儲存在受信任的跟證書頒發機構就可以啦。