是的,这当然是可能的,而且我也确实做到了这一点。如果您使用包含 CA 证书的信任库配置 Tomcat,那么它应该接受该 CA 签名的任何客户端证书。
我假设您已经生成了 CA 密钥和根证书,并且您知道如何使用它将 CSR 转换为证书。
首先生成您的服务器密钥和相应的 CSR
$ openssl genrsa -out XXX.key 2048
$ openssl req -new -nodes -key XXX.key -out XXX.csr
使用您的 CA 证书签署 CSR,生成服务器证书XXX.crt
。现在将服务器密钥、服务器证书和 CA 证书打包到单个 PKCS#12 文件中
$ cat XXX.crt ca-certificate.pem | openssl pkcs12 -export -inkey XXX.key -out XXX.p12 -name tomcat -caname myauthority
此过程将提示您输入多个密码,将它们全部设置为相同的值(该值是什么并不重要,并且不必是安全密码,只需非空 - 我使用changeit
).
This .p12
文件现在可以充当keystore对于雄猫。接下来,您需要创建一个单独的 JKS 密钥库,其中仅包含要用作信任库.
$ keytool -import -alias myauthority -keystore truststore.jks -file ca-certificate.pem
再次,使用相同的非空密码回复所有密码提示,例如changeit
.
最后可以配置Tomcat:
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
connectionTimeout="20000"
keystoreFile="${catalina.home}/conf/XXX.p12"
keystoreType="PKCS12"
keystorePass="changeit"
truststoreFile="${catalina.home}/conf/truststore.jks"
truststoreType="JKS"
truststorePass="changeit"
clientAuth="true" sslProtocol="TLS" />