如何通过HTTPS方式访问web service

如题所述

　web service在企业应用中常常被用作不同系统之间的接口方式。但是如果没有任何安全机制的话，显然是难以委以重任的。比较直接的web service加密方式就是使用HTTPS方式(SSL证书加密)加密连接，并且只允许持有信任证书的客户端连接，即SSL双向认证。这样就保证了连接来源的可信度以及数据在传输过程中没有被窃取或篡改。通过HTTPS加密方式访问web service具体方法如下：
　　【准备工作】
　　(1)检查JDK的环境变量是否正确。本文使用JDK 1.6
　　(2)准备web服务器，这里选用TOMCAT 6.0
　　(3)准备web service服务端和客户端。
　　【生成证书】
　　这里用到的文件，这里存放在D:/SSL/文件夹内，其中D:/SSL/server/内的文件是要交给服务器用的，D:/SSL/client/内的文件是要交给客户端用的。
　　1生成服务端证书
　　开始-运行-CMD-在dos窗口执行下执行命令：
　　keytool -genkey -v -aliastomcat -keyalg RSA -keystore D:/SSL/server/tomcat.keystore -dname"CN=127.0.0.1,OU=zlj,O=zlj,L=Peking,ST=Peking,C=CN" -validity 3650-storepass zljzlj -keypass zljzlj
　　说明：
　　keytool 是JDK提供的证书生成工具，所有参数的用法参见keytool –help
　　-genkey 创建新证书
　　-v 详细信息
　　-alias tomcat 以”tomcat”作为该证书的别名。这里可以根据需要修改
　　-keyalg RSA 指定算法
　　-keystoreD:/SSL/server/tomcat.keystore 保存路径及文件名
　　-dname"CN=127.0.0.1,OU=zlj,O=zlj,L=Peking,ST=Peking,C=CN" 证书发行者身份，这里的CN要与发布后的访问域名一致。但由于这里是自签证书，如果在浏览器访问，仍然会有警告提示。真正场景中建议申请CA机构(wosign)签发的SSL证书更安全。
　　-validity 3650证书有效期，单位为天
　　-storepass zljzlj 证书的存取密码
　　-keypass zljzlj 证书的私钥
　　2 生成客户端证书
　　执行命令：
　　keytool ‐genkey ‐v ‐aliasclient ‐keyalg RSA ‐storetype PKCS12 ‐keystore D:/SSL/client/client.p12 ‐dname"CN=client,OU=zlj,O=zlj,L=bj,ST=bj,C=CN" ‐validity 3650 ‐storepassclient ‐keypass client
　　说明：
　　参数说明同上。这里的-dname 证书发行者身份可以和前面不同，到目前为止，这2个证书可以没有任何关系。下面要做的工作才是建立2者之间的信任关系。
　　3 导出客户端证书
　　执行命令：
　　keytool ‐export ‐aliasclient ‐keystore D:/SSL/client/client.p12 ‐storetype PKCS12 ‐storepass client‐rfc ‐file D:/SSL/client/client.cer
　　说明：
　　-export 执行导出
　　-file 导出文件的文件路径
　　4 把客户端证书加入服务端证书信任列表
　　执行命令：
　　keytool ‐import ‐aliasclient ‐v ‐file D:/SSL/client/client.cer ‐keystoreD:/SSL/server/tomcat.keystore ‐storepass zljzl
　　说明：
　　参数说明同前。这里提供的密码是服务端证书的存取密码。
　　5 导出服务端证书
　　执行命令：
　　keytool -export -aliastomcat -keystore D:/SSL/server/tomcat.keystore -storepass zljzlj -rfc -fileD:/SSL/server/tomcat.cer
　　说明：
　　把服务端证书导出。这里提供的密码也是服务端证书的密码。
　　6 生成客户端信任列表
　　执行命令：
　　keytool -import -fileD:/SSL/server/tomcat.cer -storepass zljzlj -keystoreD:/SSL/client/client.truststore -alias tomcat –noprompt
　　说明：
　　让客户端信任服务端证书
　　【 配置服务端为只允许HTTPS连接】
　　1 配置Tomcat 目录下的/conf/server.xml
　　Xml代码：
　　<Connectorport="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"clientAuth="true"
sslProtocol="TLS"keystoreFile="D:/SSL/server/tomcat.keystore"
keystorePass="zljzlj"truststoreFile="D:/SSL/server/tomcat.keystore"
truststorePass="zljzlj" />
　　说明：
　　在server.xml里面这段内容本来是被注释掉的，如果想使用https的默认端口443，请修改这里的port参数。其中的clientAuth="true" 指定了双向证书认证。

温馨提示：答案为网友推荐，仅供参考

当前网址：http://44.wendadaohang.com/zd/Y3Y63W6GWR36W3WVYVZ.html