提示：建议以下操作不使用谷歌浏览器(该网站的证书不识别...),可以看到我的截图中谷歌换成了ie（没装火狐）...建议该申请使用火狐

前面介绍了下自签名的ssl证书,虽然可以实现https协议访问，但是浏览器总会提示不安全，对用户不太友好，在这里介绍下稍微正规点的CA认证方式。

在某果发布的文章上看到说他们的app要强制要求使用https协议了，让用户去沃通申请免费的ssl证书,结果去沃通官网，发现截至到16年9月份就停止免费申请了 

最后不得已使用了startssl 免费ssl证书，官网说的是免费一年...

 第一部分        申请免费ssl证书(startssl)

打开官网 https://startssl.com　　

输入邮箱 让后发送验证码 ,将验证码填入 signup 如下图

 输入密码 提交 会提示下载

当前下载的证书(以.p12结尾)是登陆这个网站的密钥建议保存，是以后登陆该网站都需要的凭证 ，双击安装然后重新访问官网

 单击here

 输入域名, 提交.如下图

接下来是填写二级域名 这里只截了下半部分图

上图是提示生成csr文件的方式 openssl命令或下载StartComTool.exe工具

这里使用的openssl命令 直接在linux 中执行：

openssl req -newkey rsa:2048 -keyout yourname.key -out yourname.csr

ls 可以看到生成了yourname.key和yourname.csr 2个文件

将csr文件的内容复制到下面的文本框并提交，成功的话会提示到证书列表下载证书

到这里免费的ssl证书就申请成功。（下载后压缩文件有4个文件分别对应不同的web服务器）

第二部分    介绍tomcat配置证书

1，解密密钥

可使用命令openssl rsa -in ssl.key -out ssl_decrypted.key，

或者是StartSSL提供的工具: Tool Box - Decrypt Private Key，生成的内容另存为文件，如ssl_decrypted.key

2，生成PKCS12文件 startssl官网生成PKCS12文件

private key  为ssl_decrypted.key(解密密钥) 文件的内容全部(带-----标题的-----)

证书填下载的证书包中的 绑定域名.crt 的内容(带-----标题的-----)

密码 为生成key和csr文件设置的命令 

上图

 提交后 成功的话可以下载.p12文件(所谓的PKCS12)

3，生成jks文件(tomcat配置需要)

D:\ssl>keytool.exe -importkeystore -deststorepass mypwd(应该是设置密码 我这里设置成创建key和csr文件时的密码一样) -destkeystore chbkeystore.jks -srckeystore chb.p12 -srcstoretype PKCS12 -srcstorepass mypwd(创建key和csr文件时的密码)

最终得到 chbkeystore.jks

4，将根证书和1级证书导入到jks文件

导入根证书(在startssl下载的证书OtherServer目录中的 root.crt)

D:\ssl>keytool -import -alias startsslca -file OtherServer\root.crt -keystore ch

bkeystore.jks

如图：

导入1级证书 （在startssl下载的证书OtherServer目录中的1_Intermediate.crt文件）

D:\ssl>keytool -import -alias startsslca2 -file OtherServer\1_Intermediate.crt -

keystore chbkeystore.jks

5,配置Tomcat（这里和自签名ssl配置类似）
修改Tomcat目录下confg目录中的server.xml文件。

主要加keystoreFile(文件路径) 和keystorePass(密码) 属性

自签名证书生成和配置可以参考 自签名ssl证书

本文参考:http://blog.csdn.net/ruixue0117/article/details/23923395

StartCom免费ssl证书申请以及在Tomcat环境中的配置