Question

1,java生成数字证书为什么会出现下图情况？我先说一下我是怎么做的。请高手指点

1，用keytool生成了一个根证书和密钥库。 2，用根证书的私钥签发了一个新的证书。3，把新的证书保存到密钥库中。4，把生成的证书导入到IE浏览器可信任的颁发机构中.5，配置tomcat。tomcat的配置如下图。另外https协议通讯原理是不是客户端每向服务器端发送一个https请求，都会对用户的身份验证和请求内容的加密解密，是不是tomcat自动为我们做了？不用我们写java代码再进行解密了。





Answer 1

你配置的是单向SSL，tomcat不会对用户身份作出验证。只是在tomcat和浏览器之间建立了SSL通道。身份验证部分还得自己写。

追问

java里有这么个验证方法：verify(PublicKey key, String sigProvider) 但，我怎样得到客户端的证书呢？它是通过https发送的请求；怎样配置双向认证呢？具体点哈

追答

首先如果需要获取到客户端证书，必须配置成双向。获取证书方法：
X509Certificate[] certs = (X509Certificate[]) request.getAttribute("javax.servlet.request.X509Certificate");
这个返回的是客户端提交的证书数组。百度不让我提交 说有非常字符。。。我去 。。。。

参考：http://www.blogjava.net/icewee/archive/2012/06/04/379947.html

追问

嗯，我照那样做了，但还有点问题哈，访问服务器时出现如下图：

追答

是啊，点击确认看后台证书过去了没？

追问

上面我知道是怎么回事了哈。另外请问，在java 代码里怎样对应 dos命中把client.cer 导入到server.keystore的呢？还有新用户发起请求，是怎样生成一个新的server.cer，怎样生成一个新的clent.cer。也就是现在比如有5个用户访问我的服务器了，就应该颁发5份不同的证书，这个过程。求指教，多给你分哈 自己写的代码始终有问题。

追答

关于用户证书的产生这块不是用java证书工具生成的，用命令即使不死也是半死，涉及到一个概念PKI。

在服务器端只需要导入服务器证书和根证书即可（这个我忘记了要不要导入进去了）；

dos导入证书到keystore里面有keytool：参数如下

Answer 2

你的网站的域名和证书的域名不对应！