證書(shū)是單點(diǎn)登錄認(rèn)證系統(tǒng)中非常重要的鑰匙，客戶端和服務(wù)器之間的交互安全取決于證書(shū)。本文分享了JAVA的應(yīng)用。 自帶keytool證書(shū)生成工具的JDK生成證書(shū)。

假如以后真的在商品環(huán)境中使用，一定要去證書(shū)提供商那里購(gòu)買(mǎi)，證書(shū)認(rèn)證一般都是VeriSign認(rèn)證，

官方中文網(wǎng)站：http://www.verisign.com/cn/

------------------------------------------------------------------------------------------------------------------

證書(shū)的具體操作步驟主要分為三個(gè)步驟：生成證書(shū)、導(dǎo)出證書(shū)、JVM導(dǎo)入證書(shū)給客戶端。

前提：計(jì)算機(jī)需要JDK，并且在C盤(pán)新建文件夾keyss

1）生成證書(shū)

指令：keytool -genkey -alias javacrazyer -keyalg RSA -keystore c:/keys/javacrazyerkey

說(shuō)明:javacrazyer表示給證書(shū)起的另一個(gè)名稱，以便導(dǎo)出和導(dǎo)入證書(shū)。真正生成的證書(shū)名稱是javacrazyerkey。

要給力，先圖中

上圖的關(guān)鍵是“你的名字和姓氏是什么？”"這個(gè)項(xiàng)目，我在這里寫(xiě)的是javacrazyer.sso.com，實(shí)際上，這個(gè)域名是我為了操作方便而寫(xiě)的，真實(shí)情況是沒(méi)有這個(gè)域名。我是在C:\Windows\System32\/drivers\etc\hosts，添加：127.0.0.1 sso.wsria.com

然后瀏覽sso.wsria.事實(shí)上，com是127.0的訪問(wèn)。.0.1即本機(jī)

注：此步驟中輸入的域名不能是IP地址

2)導(dǎo)出證書(shū)

指令:keytool -export -file c:/keys/javacrazyer.crt -alias javacrazyer -keystore c:/keys/javacrazyerkey

說(shuō)明:在這里，我們將第一步生成的證書(shū)文件導(dǎo)出為真實(shí)的證書(shū)，然后使用JVM導(dǎo)入證書(shū)。

給力圖中

在此輸入密碼是建立證書(shū)時(shí)設(shè)置的第一步。

這個(gè)時(shí)候我們來(lái)看看c:/keys下的文檔，還有一個(gè)crt文檔，即真正導(dǎo)出的證書(shū)。

為客戶端提供JVM導(dǎo)入證書(shū)[這一點(diǎn)非常重要]

指令：keytool -import -keystore "C:\Program Files\Java\jdk1.6.0_20\jre\lib\security\cacerts" -file "c:/keys/javacrazyer.crt" -alias javacrazyer

說(shuō)明：將第二步生成的真實(shí)證書(shū)文件導(dǎo)入JDK中的證書(shū)認(rèn)證文件，要記住我說(shuō)是客戶端JVM的原因，關(guān)鍵是如果你將來(lái)在MyEclipse中使用tomcat，而tomcat的JDK恰好就是這個(gè)"C:\Program Files\Java\jdk1.6.0_20",在這種情況下，你瀏覽一個(gè)部署在TOMCAT上的WEB程序就是瀏覽客戶端，所以為了避免以后出錯(cuò)，一是關(guān)鍵選擇這個(gè)JDK導(dǎo)入證書(shū)，二是在MyEclipse中Tomcat的JDK要選擇同一個(gè)JDK。

在此輸入密碼并非第一步設(shè)置的密碼，而是默認(rèn)密碼：changeit

再次強(qiáng)調(diào):這一步之所以重復(fù)重要，是因?yàn)檫@樣的錯(cuò)誤可能發(fā)生在未來(lái)瀏覽SSO流程的WEB客戶端時(shí)。

https錯(cuò)誤請(qǐng)求： unable to find valid certification path to requested target

為防止這一錯(cuò)誤，所以這一步必須保證正確完成，保證完成的標(biāo)準(zhǔn)是第四步。

應(yīng)用證書(shū)到Web服務(wù)器-Tomcat

這個(gè)步驟實(shí)際上意味著打開(kāi)tomcatSSL。（(Secure Sockets Layer 避孕套接)，即打開(kāi)https加密協(xié)議。為什么要加密？安全，否則中國(guó)工商銀行網(wǎng)站在操作網(wǎng)銀賬戶時(shí)為什么要使用https？

所以設(shè)計(jì)安全系數(shù)要求很高的網(wǎng)站系統(tǒng)必須使用https加密協(xié)議

言歸正傳，準(zhǔn)備一份干凈的tomcat，本教程使用的apachee-tomcat-6.0.29

打開(kāi)conf//tomcat目錄server.xml文件，打開(kāi)83和87行的注釋代碼，并設(shè)置keystoreFileFile。、修改結(jié)果如下：keystorePass：

Xml代碼

1. <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"  
2.             maxThreads="150" scheme="https" secure="true"  
3.             clientAuth="false" sslProtocol="TLS"    
4.              keystoreFile="c:/keys/javacrazyerkey"  
5.              keystorePass="cheney"  
6.   />

參數(shù)解釋

在這里，Tomcat的SSL啟用完成，現(xiàn)在你可以啟動(dòng)tomcat來(lái)嘗試一下，例如本教程的輸入地址：https://javacrazyer.sso.com:8443/

開(kāi)啟的是：

點(diǎn)擊“繼續(xù)瀏覽這個(gè)網(wǎng)站(不推薦)，我們可以做到。 "，現(xiàn)在進(jìn)入Tomcat目錄吧，如果是這樣的話，你又向成功邁進(jìn)了一步。