Ubuntu下利用JDK的Keytool配置Tomcat7.0的SSL協議：

1.用JDK自帶的Keytool生成伺服器證書：

1)開啟終端控制檯，轉向tomcat主目錄，執行生成keystore檔案命令：
keytool -genkey -alias tomcat -keyalg RSA -keypass tomcat -storepass tomcat -keystore server.keystore -validity 3600
——在tomcat主目錄下生成server.keystore檔案；

2)根據keystore檔案產生的證書請求，向CA申請伺服器數字證書：
keytool -export -trustcacerts -alias tomcat -file server.cer -keystore server.keystore -storepass tomcat
——在tomcat主目錄下生成server.cer檔案；

3)將資訊中心簽發的伺服器證書server.cer匯入到server.keystore檔案：
keytool -import -trustcacerts -alias tomcat -file server.cer -keystore server.keystore -storepass tomcat

2.用JDK自帶的Keytool生成客戶端證書：

1)為支援證書順利匯入到IE和Firefor，證書格式為PKCS12，命令如下：
keytool -genkey -v -alias client -keyalg RSA -storetype PKCS12 -validity 3600 -keystore client.p12 -storepass client -keypass client
——在tomcat主目錄下生成client.p12檔案；

2)讓伺服器信任客戶端證書：
雙向SSL認證，伺服器要信任客戶端證書，因此要把客戶端證書新增為伺服器的信任認證，由於不能直接將PKCS12格式的證書匯入，要先把客戶端證書匯出為一個單獨的CER檔案，命令：
keytool -export -alias client -keystore client.p12 -storetype PKCS12 -storepass client -rfc -file client.cer
——在tomcat主目錄下生成client.cer檔案；
將client.cer匯入到伺服器的證書庫server.keystore，新增為一個信任證書：
keytool -import -v -file client.cer -keystore server.keystore -storepass tomcat
——認證已新增至keystore中

3)通過list命令檢視伺服器的證書庫，可以看到兩個輸入，一個是伺服器證書，一個是受信任的客戶端證書：
keytool -list -keystore server.keystore -storepass tomcat

4)刪除命令：keytool -delete -alias myKey -keystore server.keystore -storepass tomcat

3.修改tomcat配置：conf/server.xml