Shiro内置了SslFilter用来处理需要使用SSL连接的请求。对需要使用SSL连接的URL配置SslFilter，那么该请求就会变为”https”协议。

生成公钥和私钥

首先，在命令行中输入“keytool –genkey”将自动使用默认的算法生成公钥和私钥，并以交互方式获得公钥持有者的信息。其交互过程如下 ：

D:>keytool -genkey -keystore “D:\mykey.keystore” -alias localhost -keyalg RSA
输入keystore密码：
再次输入新密码:
您的名字与姓氏是什么？
[Unknown]： localhost
您的组织单位名称是什么？
[Unknown]： zhu
您的组织名称是什么？
[Unknown]： zhu
您所在的城市或区域名称是什么？
[Unknown]： zj
您所在的州或省份名称是什么？
[Unknown]： hz
该单位的两字母国家代码是什么
[Unknown]： cn
CN=localhost, OU=zhu, O=zhu, L=zj, ST=hz, C=cn 正确吗？
[否]： y
输入<localhost>的主密码
（如果和 keystore 密码相同，按回车）：

导出证书

然后通过keytool的export参数导出证书：

D:>keytool -alias localhost -export -storepass 123456 -keystore d:/mykey.keystore -file d:/mycer.cer

注意这里的alias要和刚才生成时所用的alias对应起来。

配置tomcat的SSL端口

下面设置tomcat下的server.xml:
找到端口为8443的Connector，并将其注释去掉，并改为如下形式：

    <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" 
               keystoreFile="D:\mykey.keystore" keystorePass="123456"/>

需要注意的是，这里protocol默认为HTTP/1.1，但是我用HTTP/1.1会报错：

java.lang.Exception: No Certificate file specified or invalid file format

所以改成了org.apache.coyote.http11.Http11Protocol

配置Shiro

如我们开头所说，这里要配置一个SslFilter，并将重定向的端口号设为8443：

<bean id="sslFilter" class="org.apache.shiro.web.filter.authz.SslFilter">  
        <property name="port" value="8443"/>  
    </bean>

    <!-- Shiro的Web过滤器 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager" />
        <property name="loginUrl" value="/login" />
        <property name="unauthorizedUrl" value="/unauthorized" />
        <property name="filters">
            <util:map>
                <entry key="authc" value-ref="formAuthenticationFilter" />
                <entry key="logout" value-ref="logoutFilter" />
                <entry key="ssl" value-ref="sslFilter"></entry>
            </util:map>
        </property>
        <property name="filterChainDefinitions">
            <value>
                /favicon.ico = anon
                /special/unauthorized = anon
                /register = anon
                /login = ssl,authc
                /logout = logout
                /** = user
            </value>
        </property>
    </bean>

如一切正常，那么启动tomcat访问登陆页面时会被重定向到8443端口，但Chrome此时会告诉你：

您的连接不是私密连接

那就需要用当刚才生成的证书了，可以直接双击证书安装到“受信任的根证书颁发机构”，或者从Chrome中导入证书也可以。