一、HTTPS的基本工作原理：
HTTPS在傳輸數(shù)據(jù)之前需要客戶端（瀏覽器）與服務端（網站）之間進行一次握手，在握手過程中將確立雙方加密傳輸數(shù)據(jù)的密碼信息。TLS/SSL協(xié)議不僅僅是一套加密傳輸?shù)膮f(xié)議，更是一件經過藝術家精心設計的藝術品，TLS/SSL中使用了非對稱加密，對稱加密以及HASH算法。握手過程的簡單描述如下：
1.瀏覽器將自己支持的一套加密規(guī)則發(fā)送給網站。
2.網站從中選出一組加密算法與HASH算法，并將自己的身份信息以證書的形式發(fā)回給瀏覽器。證書里面包含了網站地址，加密公鑰，以及證書的頒發(fā)機構等信息。
3.獲得網站證書之后瀏覽器要做以下工作：
a) 驗證證書的合法性（頒發(fā)證書的機構是否合法，證書中包含的網站地址是否與正在訪問的地址一致等），如果證書受信任，則瀏覽器欄里面會顯示一個小鎖頭，否則會給出證書不受信的提示。
b) 如果證書受信任，或者是用戶接受了不受信的證書，瀏覽器會生成一串隨機數(shù)的密碼，并用證書中提供的公鑰加密。
c) 使用約定好的HASH計算握手消息，并使用生成的隨機數(shù)（密碼）對消息進行加密，最后將之前生成的所有信息發(fā)送給網站。
4.網站接收瀏覽器發(fā)來的數(shù)據(jù)之后要做以下的操作：
a) 使用自己的私鑰將信息解密取出密碼，使用密碼解密瀏覽器發(fā)來的握手消息，并驗證HASH是否與瀏覽器發(fā)來的一致。
b) 使用密碼加密一段握手消息，發(fā)送給瀏覽器。
5.瀏覽器解密并計算握手消息的HASH，如果與服務端發(fā)來的HASH一致，此時握手過程結束，之后所有的通信數(shù)據(jù)將由之前瀏覽器生成的隨機密碼并利用對稱加密算法進行加密。
這里瀏覽器與網站互相發(fā)送加密的握手消息并驗證，目的是為了保證雙方都獲得了一致的密碼，并且可以正常的加密解密數(shù)據(jù)，為后續(xù)真正數(shù)據(jù)的傳輸做一次測試。另外，HTTPS一般使用的加密與HASH算法如下：
非對稱加密算法：RSA，DSA/DSS
對稱加密算法：AES，RC4，3DES
HASH算法：MD5，SHA1，SHA256
其中非對稱加密算法用于在握手過程中加密生成的密碼，對稱加密算法用于對真正傳輸?shù)臄?shù)據(jù)進行加密，而HASH算法用于驗證數(shù)據(jù)的完整性。由于瀏覽器生成的密碼是整個數(shù)據(jù)加密的關鍵，因此在傳輸?shù)臅r候使用了非對稱加密算法對其加密。非對稱加密算法會生成公鑰和私鑰，公鑰只能用于加密數(shù)據(jù)，因此可以隨意傳輸，而網站的私鑰用于對數(shù)據(jù)進行解密，所以網站都會非常小心的保管自己的私鑰，防止泄漏。
TLS握手過程中如果有任何錯誤，都會使加密連接斷開，從而阻止了隱私信息的傳輸。
二、服務端證書的生成：
打開mac上的終端，使用keytool為Tomcat生成證書，假定目標機器的域名是“localhost”，keystore文件存放在“/Users/用戶名/工作/CA/”目錄下，名稱叫做“tomcat.keystore”，使用“RSA”加密，口令為“password”，過期時間為100年，使用如下命令生成：

keytool -genkey -v -alias tomcat -keyalg RSA -keystore /Users/用戶名/工作/CA/tomcat.keystore -validity 36500

(參數(shù)簡要說明：“/Users/用戶名/工作/CA/tomcat.keystore”是證書文件的保存路徑，證書文件名稱是tomcat.keystore ；“-validity 36500”含義是證書有效期，36500表示100年，默認值是90天 “tomcat”為自定義證書名稱)。 在命令行填寫必要參數(shù)： A、 輸入keystore密碼：此處需要輸入大于6個字符的字符串。 B、 “您的名字與姓氏是什么？”這是必填項，并且必須是tomcat部署主機的域名或者IP[如：gbcom.com 或者 10.1.25.251]（就是你將來要在瀏覽器中輸入的訪問地址），否則瀏覽器會彈出警告窗口，提示用戶證書與所在域不匹配。在本地做開發(fā)測試時，應填入“l(fā)ocalhost”。 C、 你的組織單位名稱是什么？”、“您的組織名稱是什么？”、“您所在城市或區(qū)域名稱是什么？”、“您所在的州或者省份名稱是什么？”、“該單位的兩字母國家代碼是什么？”可以按照需要填寫也可以不填寫直接回車，在系統(tǒng)詢問“正確嗎？”時，對照輸入信息，如果符合要求則使用鍵盤輸入字母“y”，否則輸入“n”重新填寫上面的信息。 D、 輸入的主密碼，這項較為重要，會在tomcat配置文件中使用，建議輸入與keystore的密碼一致，設置其它密碼也可以，完成上述輸入后，直接回車則在你在第二步中定義的位置找到生成的文件。
三、客戶端證書的生成：
為瀏覽器生成證書，以便讓服務器來驗證它。為了能將證書順利導入至IE和Firefox，證書格式應該是PKCS12，因此，使用如下命令生成：
keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore /Users/用戶名/工作/CA/mykey.p12

（mykey為自定義） 對應的證書庫存放在“/Users/用戶名/工作/CA/mykey.p12”，客戶端的CN可以是任意值。雙擊mykey.p12文件，即可將證書導入至瀏覽器（客戶端）。
四、服務端信任客戶端證書：
由于是雙向SSL認證，服務器必須要信任客戶端證書，因此，必須把客戶端證書添加為服務器的信任認證。由于不能直接將PKCS12格式的證書庫導入，必須先把客戶端證書導出為一個單獨的CER文件，使用如下命令：
keytool -export -alias mykey -keystore /Users/用戶名/工作/CA/mykey.p12 -storetype PKCS12 -storepass password -rfc -file /Users/用戶名/工作/CA/mykey.cer

(mykey為自定義與客戶端定義的mykey要一致，password是你設置的密碼)。通過以上命令，客戶端證書就被我們導出到“/Users/用戶名/工作/CA/mykey.cer”文件了。 下一步，是將該文件導入到服務器的證書庫，添加為一個信任證書使用命令如下：
keytool -import -v -file /Users/用戶名/工作/CA/mykey.cer -keystore /Users/用戶名/工作/CA/tomcat.keystore

通過list命令查看服務器的證書庫，可以看到兩個證書，一個是服務器證書，一個是受信任的客戶端證書：
keytool -list -keystore /Users/用戶名/工作/CA/tomcat.keystore

(tomcat為你設置服務器端的證書名)。
五、客戶端信任服務端證書：
由于是雙向SSL認證，客戶端也要驗證服務器證書，因此，必須把服務器證書添加到瀏覽器的“受信任的根證書頒發(fā)機構”。由于不能直接將keystore格式的證書庫導入，必須先把服務器證書導出為一個單獨的CER文件，使用如下命令：
keytool -keystore /Users/用戶名/工作/CA/tomcat.keystore -export -alias tomcat -file /Users/用戶名/工作/CA/tomcat.cer

(tomcat為你設置服務器端的證書名)。 通過以上命令，服務器證書就被我們導出到“/Users/用戶名/工作/CA/tomcat.cer”文件了。雙擊tomcat.cer文件，按照提示安裝證書，將證書填入到“受信任的根證書頒發(fā)機構”。
六、配置Tomcat服務器使其支持HTTPS：
1、打開Tomcat根目錄下的/conf/server.xml，找到Connector port=”8443”配置段，去掉注釋并修改如下：
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" clientAuth="true" sslProtocol="TLS" keystoreFile="/Users/用戶名/工作/CA/tomcat.keystore" keystorePass="password" truststoreFile="/Users/用戶名/工作/CA/tomcat.keystore" truststorePass="password"/>

2、打開/conf/web.xml，在最后添加如下內容進行HTTPS強制訪問：
<login-config> <auth-method>CLIENT-CERT</auth-method> <realm-name>Client Cert Users-only Area</realm-name> </login-config> <security-constraint> <web-resource-collection > <web-resource-name >SSL</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint>

這樣tomcat就能支持SSL雙向認證了。
在這里要注意： 1、tomcat6中protocol=”HTTP/1.1”， tomcat7中protocol=”org.apache.coyote.http11.Http11Protocol”； 2、如果要用Eclipse進行測試，必須修改Eclipse工作目錄（workspace）下Servers文件夾下的tomcat配置文件才能生效，修改tomcat實際目錄下的配置文件是無效的，切記！ 3、server.xml文件中非SSL的Connector不能刪除，刪除后tomcat啟動不了，會報超時錯誤，切記！ 4、如果只是支持客戶端認證服務端把clientAuth改為false就可以了。