使用 JSSE 配置 Apache Tomcat SSL

SSL 证书一般是由 OpenSSL 工具生成 x509 证书（标准的 PKI 管理工具），适用于大部分的 web server，而基于 java 的 web 应用程序（Tomcat），默认情况下，使用 jks 类型证书。因此，在使用 JSSE 配置 SSL 之前，需要将 x509 类型的证书转换成 jks 类型的证书。

思路：先利用 openssl 将 crt 格式的证书转换为 pkcs 12，再使用 keytool 将pkcs 12 转换成 jks。

第一步，从key和crt生成pkcs12格式

openssl pkcs12 -export -in mycert.crt -inkey mykey.key 
               -out mycert.p12 -name tomcat 
               -CAfile myCA.crt -caname root -chain

第二步 生成tomcat需要的keystore

keytool -importkeystore -v  -srckeystore mycert.p12
        -srcstoretype pkcs12 -srcstorepass 123456 
        -destkeystore tomcat.keystore -deststoretype jks
        -deststorepass 123456

其中，123456 为第一步生成 p12格式时所输入的密钥。

Apache-tomcat 9使用 JSSE 配置 SSL 参考

最终的配置为

<Connector address="127.0.0.1"
 protocol="org.apache.coyote.http11.Http11NioProtocol"
 port="8443" maxThreads="200"
 scheme="https" secure="true" SSLEnabled="true"
 keystoreFile="/opt/apache-tomcat-7/ssl/tomcat.keystore" 
 keystorePass="123456"
 clientAuth="false" sslProtocol="TLS">