jdk1.8和tomcat 7不兼容么？你說說看反了，而應該問jdk1.8支持什么tomcat7嗎？tomcat底層運行的是java的Socket，也就是說tomcat是在jdk環(huán)境下正常運行的。但是

jdk1.8和tomcat 7不兼容么？

你說說看反了，而應該問jdk1.8支持什么tomcat7嗎？tomcat底層運行的是java的Socket，也就是說tomcat是在jdk環(huán)境下正常運行的。但是這也不是問題，tomcat其實應該是用java語言寫的，java版本高1.8肯定支持tomcat7了，以前nginx7在某個版本(7.0.72，詳細記不不清楚了)之前我還是用jdk1.6寫的，7.0.72之后是jdk1.7寫的。這樣的話jdk1.8那肯定是支持什么tomcat7的

jdk13和tomcat對應版本？

jdk13算得都很高的Java開發(fā)版本了，Tomcat是沒有對應版本的，jdk大都能兼容，現(xiàn)在象是Tomcat7及以上

jdk證書生成原理？

Tomcat服務器配置https分流認證，建議使用JDK的keytool生成證書（適用規(guī)定于web、安卓、IOS）

一、原理

：平時瀏覽網(wǎng)頁時候不使用的一種協(xié)議。HTTP協(xié)議傳輸?shù)臄?shù)據(jù)都是未加密文件的（明文），因此使用HTTP協(xié)議傳輸隱私信息相當不安全。

：是為可以保證隱私數(shù)據(jù)能加密傳輸，區(qū)分SSL/TLS協(xié)議主要用于對HTTP協(xié)議傳輸?shù)臄?shù)據(jù)進行加密，也就是HTTPS。

二、只能說明

1.原因：因有些情況使用到HTTPS也就是SSL證書驗正以便于加密信息，所以才建議使用證書

2.中,選擇性：自簽免費，不是需要金額，CA的收費5月和11月都要不給錢的，具體詳細多少還沒有了解

3.途徑：有多種，本人能找到了兩種，一個的本篇文章敘述的JDK自帶的。，也有一個是OPENSSL也可以做的。這里不可以體現(xiàn)不出來。

4.生成環(huán)境與工具：windows.jdk1.8,tomcat8

三、步驟

1.服務器證書

1.1再次進入到jdk中jre目錄控制臺中；

可以在jre文件中按住shift鼠標右鍵先打開控制臺命令

或則cmd新的命令cdC:ProgramFilesJavajre1.8.0_91outside

1.2.按照pkcs12新的命令生成服務端證書（庫）

openssl-genkey-v-aliasserver-keyalgRSA-keystore-validity36500

參數(shù)只能證明：：將名為的證書保存到到G盤目錄下

-validity36500：證書有效期，36500表示100年，默認值是90天

server:可以自定義證書名稱

在這里插入圖片描述

輸入輸入密鑰庫口令：keystore密碼（題中不使用123456）此密碼是隱式性的，因為無法看到

您的名字與姓氏是什么：前提是是TOMCAT布署主機的域名或是IP[如：也可以1192.168.0.1]（應該是你將來要在瀏覽器中然后輸入的訪問地址），

不然瀏覽器會提示框告誡窗口，總是顯示用戶證書與處域不看操作。在本地做變更土地性質測量時，應填上“l(fā)ocalhost”。

其他的可以隨便地填寫好目前還沒有會出現(xiàn)什么特別情況

然后輸入的密鑰口令：直接回車.

2.客戶端證書

2.1證書格式應該是是PKCS12，包括jks模式。這另一個P12證書是給瀏覽器和IOS客戶端驗證專用，而安卓不能用keystore的密碼庫因為要生成jks然后實際工具裝換成bks。

2.1.1以下是加工生產(chǎn)安卓端所得用jks文件

jarsigner-genkeypair-aliasclient-keyalgRSA-validity36500-password123456-storepass123456-keystoreG:client.jks

在這里插入圖片描述

其中：-username123456意思是密碼是123456（轉換成時是需要都用到）其他的同上。

2.1.2生成氣體p12文件

pkcs12-genkey-v-aliasmykey-keyalgRSA-storetypePKCS12-keystoreG:mykey.p12

在這里插入圖片描述

去相關信息同上，密碼這邊打比方是123456

3.讓服務器信任客戶端證書

3.1的原因不能不能直接將PKCS12格式以及jks格式的的證書庫導出，要先把客戶端證書導出來為一個不能的CER文件，可以使用追加命令：（下面要會用到客戶端證書密碼“123456”）

P12生成cer

jarsigner-export-aliasmykey-passphraseG:mykey.p12-storetypePKCS12-storepass123456-rfc-fileG:mykey.cer

jks生成cer

3.2將證書再導入到服務器的證書庫中

p12轉換的cer導入到到server庫中

pkcs12-import-v-fileG:mykey.cer-keystore

將jks轉換的cer導入到到server庫中

keytool-import-v-aliasclient-fileG:client.cer-keystore-storepass123456

4.單向驗證

由于是上下行SSL認證，客戶端也要驗證驗證服務器證書。把服務器證書導入為一個另外的CER文件可以提供給客戶端，可以使用萬分感謝命令：

pkcs12-keystore-export-aliasserver-fileG:server.cer

到此證書生成結束

3.證書的使用配置

3.1瀏覽器服務器配置

3.1.1服務器tomcat的配置

然后打開Tomcat根目錄下的/conf/server.xml，找不到Connector port#348443#34配置段，改為:：

clientAuth:設置有無上下行修改密保，設置成為false，設置中為true代表雙向驗證

keystoreFile:服務器證書文件路徑

keystorePass:服務器證書密碼

truststoreFile:為了不驗證客戶端證書的根證書，故當中是服務器證書

truststorePass:根證書密碼

瀏覽器輸入（證書沒有配置）

3.1.2右鍵點擊“mykey.p12”文件導入客戶端證書

再度可以使用瀏覽器訪問服務端，瀏覽器要讓我們你選使用的證書。

3.1.3.文件導入服務器公鑰證書（server.cer）

因此是自簽名的證書，為盡量避免每次都提示不安全的。這里右擊server.cer安裝好服務器證書。

注意：將證書填入到“受絕對信任的根證書頒發(fā)機構”

在這里插入圖片詳細解釋

再一次然后再訪問網(wǎng)絡服務器，會發(fā)現(xiàn)沒有不方便的提示了，同時瀏覽器地址欄上也有個“鎖”圖標，來表示本次會話早通過HTTPS頓井站驗正。

3.2IOS配置

直接把P12文件以及sever.cer文件給IOS開發(fā)人員就行了

3.3android配置基于Portecle1.9

需要把jks裝換成bks讓安卓能無法識別驗證步驟追加：

1.鼠標雙擊運行portecle.jar

在這里插入圖片描述

此處然后輸入的密碼不是你生成的bks文件時所帶的密碼（123456）

在這里插入圖片描述

然后再生成bks文件

生成BKS

這個密碼不是你給安卓人員的他們要解三角形這個證書得用副本（123456）

在這里插入圖片詳細解釋

到最后顯示SUCCESSFUL它表示最終

在這里插入圖片描述

**重點：**導致生成生成功了后不需要達到的，文件名要先加.bks結尾要不就真接生成了文件了，安卓識別不了

在這里插入圖片描述

此時把.bks文件和sever.cer文件給安卓開發(fā)人員

后來滿tomcat服務器走https

然后打開Tomcat直接安裝目錄中conf/web.xml文件，在最后面加上以上內(nèi)容即可

CLIENT-CERTClient Cert Users-guessArea

SSL

/*

CONFIDENTIAL

四、其他查找說明

在用工具轉換三次時會報異樣這是畢竟要是密鑰大于0128,會一拋Illegalkeysize異常.因為密鑰長度是受限制的,java運行時環(huán)境讀到的是受限的policy文件.文件東南邊${java_home}/jre/lib/security,這種限制是而且美國對軟件出口的控制

解決方案：去官方上網(wǎng)下載JCE無限制權限策略文件。