如何配置Java HTTPS CA证书(Jetty，Tomcat

应苹果APP Store 要求(苹果要求所有iOS应用必须使用ATS（App Transport Security），不少项目已启用HTTPS协议，当然网上已有很多列子，但多数都是讲解自定义签名证书

一般来说，主流的Web服务软件，通常都基于两种基础密码库：OpenSSL和Java。
Tomcat、Weblogic、JBoss等，使用Java提供的密码库。通过Java的Keytool工具，生成Java Keystore（JKS）格式的证书文件。
Apache、Nginx等，使用OpenSSL提供的密码库，生成PEM、KEY、CRT等格式的证书文件。

Tomcat、Jetty服务器

如果是自定义签名证书，直接Java JDK keytool生成签名文件keystore或jks文件

找到安装Tomcat目录下该文件server.xml,一般默认路径都是在 conf 文件夹中。找到 <Connection port="8443" 标签，增加如下属性：

<Connector port="8443"
    protocol="HTTP/1.1"
    SSLEnabled="true"
    scheme="https"
    secure="true"
    keystoreFile="server.keystore"
    keystorePass="证书密码"
    clientAuth="false"/>

如果是CA分发证书，需要下载证书(一般包含pem和key文件)，若下载文件里面有pfx文件，可以直接使用它作为签名文件
若没有需要自己去制作一个pfx文件或jks文件，命令如下：

openssl pkcs12 -export -out 213981318100861.pfx -inkey 213981318100861.key -in 213981318100861.pem

Tomcat配置如下：

<Connector port="8443"
    protocol="HTTP/1.1"
    SSLEnabled="true"
    scheme="https"
    secure="true"
    keystoreFile="cert/213981318100861.pfx"
    keystoreType="PKCS12"
    keystorePass="证书密码"
    clientAuth="false"
    ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
    SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
    SSLCipherSuite="ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4"/>

####### JKS证书安装
( 1 ) 使用java jdk将PFX格式证书转换为JKS格式证书(windows环境注意在%JAVA_HOME%/jdk/bin目录下执行)

keytool -importkeystore -srckeystore 213981318100861.pfx -destkeystore your-name.jks -srcstoretype PKCS12 -deststoretype JKS

回车后输入JKS证书密码和PFX证书密码，强烈推荐将JKS密码与PFX证书密码相同，否则可能会导致Tomcat启动失败。

( 2 ) 找到安装 Tomcat 目录下该文件Server.xml，一般默认路径都是在 conf 文件夹中。找到 <Connection port="8443" 标签，增加如下属性：

<Connector port="8443"
    protocol="HTTP/1.1"
    SSLEnabled="true"
    scheme="https"
    secure="true"
    keystoreFile="cert/your-name.jks"
    keystorePass="证书密码"
    clientAuth="false"
    ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
    SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
    SSLCipherSuite="ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4"/>

( 注意:不要直接拷贝所有配置，只需添加 keystoreFile,keystorePass等参数即可，其它参数请根据自己的实际情况修改 )

OK，搞定，重启Tomcat

Jetty配置

签名生成也和以上一样，就不说了
pom文件添加以下配置：

<plugin>
        <groupId>org.mortbay.jetty</groupId>
        <artifactId>maven-jetty-plugin</artifactId>
        <version>6.1.7</version>
        <configuration>
          <webAppSourceDirectory>${project.basedir}/src/main/webapp</webAppSourceDirectory>
          <connectors>
            <connector implementation="org.mortbay.jetty.nio.SelectChannelConnector">
              <port>10092</port>
              <maxIdleTime>30000</maxIdleTime>
            </connector>
            <connector implementation="org.mortbay.jetty.security.SslSocketConnector">
              <port>10093</port>
              <maxIdleTime>60000</maxIdleTime>
              <keystore>cert/your-name.jks</keystore>
              <password>证书密码</password>
              <keyPassword>证书密码</keyPassword>
            </connector>
          </connectors>
          <webAppConfig>
            <contextPath>/</contextPath>
          </webAppConfig>
          <scanIntervalSeconds>2</scanIntervalSeconds>
        </configuration>
      </plugin>

检测HTTPS是否完全符合ATS的要求，命令如下：

nscurl --ats-diagnostics --verbose 网址

如果HTTPS服务器能通过ATS特性，则上面所有测试案例都是PASS；如果某一项的Reuslt是FAIL，就找到ATS Dictionary来查看，就能知道HTTPS服务器不满足ATS哪个条件。