双向认证(个人理解)：

客户端认证：

客户端通过浏览器访问某一网站时，如果该网站为HTTPS网站，浏览器会自动检测系统中是否存在该网站的信任证书，如果没有信任证书，浏览器一般会拒绝访问，IE会有一个继续访问的链接，但地址栏是红色，给予用户警示作用，即客户端验证服务端并不是强制性的，可以没有服务端的信任证书，当然是否继续访问完全取决于用户自己。如何去除地址栏的红色警告呢？后续会介绍导入服务端证书到浏览器的方法。

服务端认证：

服务端需要获取到客户端通过浏览器发送过来的认证证书，该证书在服务端的证书库中已存在，仅仅是个匹配过程，匹配成功即通过认证，可继续访问网站资源，反之则无法显示网页，后续有截图。

基本逻辑：

1、生成服务端密钥库并导出证书；

2、生成客户端密钥库并导出证书；

3、根据服务端密钥库生成客户端信任的证书；

4、将客户端证书导入服务端密钥库；

5、将服务端证书导入浏览器

构建演示系统

演示环境：

JDK：1.8.0_31

Tomcat：apache-tomcat-8.5.6

浏览器：Internet Explorer 11

一、生成密钥库和证书

可参考以下密钥生成脚本，根据实际情况做必要的修改，其中需要注意的是：服务端的密钥库参数“CN”必须与服务端的IP地址相同，否则会报错，客户端的任意。

key.script

1、生成服务器证书库

keytool -validity365-genkey -v -alias server -keyalg RSA -keystoreE:\ssl\server.keystore -dname"CN=127.0.0.1,OU=icesoft,O=icesoft,L=Haidian,ST=Beijing,c=cn"-storepass123456-keypass123456

2、生成客户端证书库

keytool -validity365-genkeypair -v -alias client -keyalgRSA -storetype PKCS12 -keystore E:\ssl\client.p12 -dname"CN=client,OU=icesoft,O=icesoft,L=Haidian,ST=Beijing,c=cn"-storepass123456-keypass123456

3、从客户端证书库中导出客户端证书

keytool -export -v -alias client -keystoreE:\ssl\client.p12 -storetype PKCS12 -storepass123456-rfc -file E:\ssl\client.cer

4、从服务器证书库中导出服务器证书

keytool -export -v -alias server -keystoreE:\ssl\server.keystore -storepass123456-rfc -file E:\ssl\server.cer

5、生成客户端信任证书库(由服务端证书生成的证书库)

keytool -import-v -alias server -file E:\ssl\server.cer -keystore E:\ssl\client.truststore -storepass123456

6、将客户端证书导入到服务器证书库(使得服务器信任客户端证书)

keytool -import-v -alias client -file E:\ssl\client.cer -keystore E:\ssl\server.keystore -storepass123456

7、查看证书库中的全部证书

keytool -list -keystoreE:\ssl\server.keystore -storepass123456

二、Tomat配置

使用文本编辑器编辑${catalina.base}/conf/server.xml

找到Connector

port="8443"的标签，取消注释，并修改成如下：

maxThreads="150"scheme="https"secure="true"

clientAuth="true"sslProtocol="TLS"

keystoreFile="${catalina.base}/key/server.keystore"keystorePass="123456"

truststoreFile="${catalina.base}/key/server.keystore"truststorePass="123456"/>

备注：

keystoreFile：指定服务器密钥库，可以配置成绝对路径，如“D:/key/server.keystore”，本例中是在Tomcat目录中创建了一个名称为key的文件夹，仅供参考。

keystorePass：密钥库生成时的密码

truststoreFile：受信任密钥库，和密钥库相同即可

truststorePass：受信任密钥库密码

三、演示及配置

发布演示项目，通过浏览器访问：http://127.0.0.1:8080/SSL或https://127.0.0.1:8443/SSL，得到相同的结果，如图：

得到如上结果的原始是因为客户端没有通过服务端的安全认证，接下来将服务端给客户端颁发的证书导入到浏览器中：

双击“client.p12”

弹出窗口，下一步

默认，下一步

输入生成密钥时的密码“123456”，下一步

下一步

完成

成功

再次访问http://127.0.0.1:8080/或https://127.0.0.1:8443/，弹出提示框：

点击确定后，IE浏览器自动阻止了继续访问，并给予警告提示，原因是浏览器中未导入该网站的可信证书

点击“继续浏览此网站”，弹出提示，点击确定

哇！鲜红的地址栏，够醒目吧！你访问的网站不安全那，亲！

可以看出，客户端并没有服务端那么严格，只要未通过验证就甭想访问，下面将服务端生成的信任证书导入到浏览器的根证书中，这样红色的地址栏就会消失了！

开始导入服务端信任证书，不能双击“server.cer”，需要手动导入到受信任的根证书机构中去。

浏览器Internet选项-内容-证书

点击“受信任的根证书颁发机构”

点击“导入”

下一步

手动选择“server.cer”，下一步

下一步

完成

点“是”

成功

可以看到我们刚刚导入的根证书

把所有浏览器窗口都关掉，再次访问网站，发现鲜红色已经逝去