Tomcat生成https+ssl双向证书认证

最近发现自己开发的Android App都存在未签名认证的问题。

反编译App引用的库，发现关键字ALLOW_ALL_HOSTNAME_VERIFIER，允许所有主机名通过验证

所以想研究一下https+ssl双向证书认证。目前在学习阶段，而且一直专注Android App开发，对服务器和网络安全属于新手，如有错误，欢迎讨论。

Tomcat配置双向的ssl方式

第一步：使用keytool为Tomcat生成证书

第二步：为客户端生成证书

为浏览器生成证书，以便让服务器来验证它。

第三步：让服务器信任客户端证书

由于是双向SSL认证，服务器必须要信任客户端证书，因此，必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入，我们必须先把客户端证书导出为一个单独的CER文件，使用如下命令：

然后将该文件导入到服务器的证书库，添加为一个信任证书：

第四步：

让服务器信任服务端证书(同第三步)

第五步：

list命令查看服务器的证书库，我们可以看到两个输入，一个是服务器证书，一个是受信任的客户端证书： 

第六步：

在tomcat的server.xml文件中配置相关参数

<Connector port="8443"
protocol="HTTP/1.1"
minSpareThreads="150" maxSpareThreads="75"
enableLookups="true" disableUploadTimeout="true"
acceptCount="100" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="C:/apache-tomcat-7/apache-tomcat-7.0.55/etc//tomcat.keystore"
keystorePass="pass"
truststoreFile="C:/apache-tomcat-7/apache-tomcat-7.0.55/etc/client.truststore"
truststorePass="pass"
/>