web service相对http (post/get)有好处吗？

1.接口中实现的方法和要求参数一目了然

2.不用担心大小写问题

3.不用担心中文urlencode问题

4.代码中不用多次声明认证(账号,密码)参数

SSL协议基础

SSL协议位于TCP/IP协议与各种应用层协议之间，本身又分为两层：

SSL记录协议(SSL Record Protocol)：建立在可靠传输层协议(TCP)之上，为上层协议提供数据封装、压缩、加密等基本功能。

SSL握手协议(SSL Handshake Procotol)：在SSL记录协议之上，用于实际数据传输前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

在tomcat\conf\web.xml中的</welcome-file-list>后面加上以下配置:

2.单个应用强制https访问

WEB-INF/web.xml的</welcome-file-list>后面加上以下配置:

简要记录主要步骤备忘

1、进入到jdk下的bin目录

2、输入如下指令

keytool -v -genkey -alias tomcat -keyalg RSA -keystore d:/tomcat.keystore  -validity 36500

附：

d:/tomcat.keystore是将生成的tomcat.keystore放到d盘根目录下。

"-validity 36500”含义是证书有效期，36500表示100年，默认值是90天

注意若要放到c盘，在win7系统下，需要以管理员身份进入到命令行中进行操作，否则是无法创建tomcat.keystore的。本例放到d盘下。
如何以管理员身份进入到命令行下呢？开始->搜索框中输入cmd->等待（注意不回车）->出现cmd.exe->右键“以管理员身份运行”即可。

3、输入keystore密码

密码任意，此处以123456为例，要记住这个密码，之后在进行server.xml配置时需要使用。

4、输入名字、组织单位、组织、市、省、国家等信息

5、输入之后会出现确认的提示

此时输入y，并回车。此时创建完成keystore。
进入到D盘根目录下可以看到已经生成的tomcat.xml

6、进入tomcat文件夹
找到conf目录下的sever.xml并进行编辑

7、编辑
  <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
     maxThreads="150" scheme="https" secure="true"
     clientAuth="false" keystoreFile="D:/AppServer/Tomcat/apache-tomcat-6.0.32/conf/tomcat.keystore"
     keystorePass="deleiguo" sslProtocol="TLS" />
注：
方框中的keystore的密码，就是刚才我们设置的“123456”.

编辑完成后关闭并保存sever.xml

8、Tomcat启动成功后，使用https://127.0.0.1:8443 访问页面

页面成功打开即tomcat下的https配置成功。

9、应用程序HTTP自动跳转到HTTPS

在应用程序中web.xml中加入：

单项SSL连接，也就是只是客户端验证服务器证书。tomcat中clientAuth="false"的时候，HTTPS单向验证如下：

单项认证时，只需要设置客户端信任的证书库就行。但是当是双向认证时，还需要设置客户端密钥库密码。

HTTPS双向验证代码如下：

下面来说说可能会遇到的异常：

1. java.security.NoSuchAlgorithmException

一般来说是密钥库类型不对，如上面的sslKeyStoreType = "JKS" 却写成PKCS12。

也有可能是证书的问题。

2. java.net.UnknownHostException

服务端地址不对。

3.java.net.SocketException: Unexpected end of file from server

这个异常和客户端没有关系，说明已经发送成功。是服务端的问题。有可能是防火墙的原因，也可能是服务端没处理客户端的响应。

另外有人说当URL过长时也会发生此错误，当使用URL发送数据时，可以参考此意见。

4.java.io.IOException:server returned HTTP response code :500

这个异常是服务端代码的问题。服务端相应代码执行时抛出了异常。

最后 如果返回的状态码是200 ，表示成功。

系统需求：

1、  Windows系统或Linux系统

2、  安装并配置JDK 1.6.0_13

3、  安装并配置Tomcat 6.0

 

第一步：为服务器生成证书

1、  Windows系统

• “运行”控制台，进入%JAVA_HOME%/bin目录
• 使用keytool为Tomcat生成证书，假定目标机器的域名是“localhost”，keystore文件存放在“D:\home\tomcat.keystore”，口令为“password”，使用如下命令生成：

 

keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\home\tomcat.keystore -validity 36500

 

(参数简要说明：“D:\home\tomcat.keystore”含义是将证书文件的保存路径，证书文件名称是tomcat.keystore ；“-validity 36500”含义是证书有效期，36500表示100年，默认值是90天)

• 在命令行填写必要参数：

A、输入keystore密码：此处需要输入大于6个字符的字符串

B、“您的名字与姓氏是什么？”这是必填项，并且必须是TOMCAT部署主机的域名或者IP[如：gbcom.com 或者 10.1.25.251]（就是你将来要在浏览器中输入的访问地址），否则浏览器会弹出警告窗口，提示用户证书与所在域不匹配。在本地做开发测试时，应填入“localhost”

C、“你的组织单位名称是什么？”、“您的组织名称是什么？”、“您所在城市或区域名称是什么？”、“您所在的州或者省份名称是什么？”、“该单位的两字母国家代码是什么？”可以按照需要填写也可以不填写直接回车，在系统询问“正确吗？”时，对照输入信息，如果符合要求则使用键盘输入字母“y”，否则输入“n”重新填写上面的信息

D、输入<tomcat>的主密码，这项较为重要，会在tomcat配置文件中使用，建议输入与keystore的密码一致，设置其它密码也可以

• 完成上述输入后，直接回车则在你在第二步中定义的位置找到生成的文件

2、  Linux系统

• “运行”控制台，进入%JAVA_HOME%/bin目录
• 使用如下命令生成：

 

./keytool -genkey -alias tomcat -keyalg RSA -keystore /usr/local/ac/web/tomcat.keystore -validity 36500

(参数简要说明：“/etc/tomcat.keystore”含义是将证书文件保存在路径/usr/local/ac/web/下，证书文件名称是tomcat.keystore ；“-validity 36500”含义是证书有效期，36500表示100年，默认值是90天)

• 在命令行填写必要参数：

A、Enter keystore password：此处需要输入大于6个字符的字符串

B、“What is your first and last name?”这是必填项，并且必须是TOMCAT部署主机的域名或者IP[如：gbcom.com 或者 10.1.25.251]，就是你将来要在浏览器中输入的访问地址

C、“What is the name of your organizational unit?”、“What is the name of your organization?”、“What is the name of your City or Locality?”、“What is the name of your State or Province?”、“What is the two-letter country code for this unit?”可以按照需要填写也可以不填写直接回车，在系统询问“correct?”时，对照输入信息，如果符合要求则使用键盘输入字母“y”，否则输入“n”重新填写上面的信息

D、Enter key password for <tomcat>，这项较为重要，会在tomcat配置文件中使用，建议输入与keystore的密码一致，设置其它密码也可以

• 完成上述输入后，直接回车则在你在第二步中定义的位置找到生成的文件

 

第二步：为客户端生成证书

 

• 为浏览器生成证书，以便让服务器来验证它。为了能将证书顺利导入至IE和Firefox，证书格式应该是PKCS12，因此，使用如下命令生成：

 

keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore D:\home\mykey.p12

 

对应的证书库存放在“D:\home\mykey.p12”，客户端的CN可以是任意值。双击mykey.p12文件，即可将证书导入至浏览器（客户端）。

 

第三步：让服务器信任客户端证书

 

• 由于是双向SSL认证，服务器必须要信任客户端证书，因此，必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入，必须先把客户端证书导出为一个单独的CER文件，使用如下命令：

 

keytool -export -alias mykey -keystore D:\home\mykey.p12 -storetype PKCS12 -storepass password -rfc -file D:\home\mykey.cer

 

• 通过以上命令，客户端证书就被我们导出到“D:\home\mykey.cer”文件了。下一步，是将该文件导入到服务器的证书库，添加为一个信任证书：

 

keytool -import -v -file D:\home\mykey.cer -keystore D:\home\tomcat.keystore

 

• 通过list命令查看服务器的证书库，可以看到两个证书，一个是服务器证书，一个是受信任的客户端证书：

 

keytool -list -keystore D:\home\tomcat.keystore

 

第四步：让客户端信任服务器证书

 

• 由于是双向SSL认证，客户端也要验证服务器证书，因此，必须把服务器证书添加到浏览的“受信任的根证书颁发机构”。由于不能直接将keystore格式的证书库导入，必须先把服务器证书导出为一个单独的CER文件，使用如下命令：

 

keytool -keystore D:\home\tomcat.keystore -export -alias tomcat -file D:\home\tomcat.cer

 

 

• 通过以上命令，服务器证书就被我们导出到“D:\home\tomcat.cer”文件了。双击tomcat.cer文件，按照提示安装证书，将证书填入到“受信任的根证书颁发机构”。

第四步：配置Tomcat服务器

 

打开Tomcat根目录下的/conf/server.xml，找到如下配置段，修改如下：

 

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
SSLEnabled="true" maxThreads="150" scheme="https"
secure="true" clientAuth="true" sslProtocol="TLS"
keystoreFile="D:\\home\\test.keystore" keystorePass="123456"
truststoreFile="D:\\home\\test.keystore" truststorePass="123456" />

属性说明：

• clientAuth:设置是否双向验证，默认为false，设置为true代表双向验证
• keystoreFile:服务器证书文件路径
• keystorePass:服务器证书密码
• truststoreFile:用来验证客户端证书的根证书，此例中就是服务器证书
• truststorePass:根证书密码

第五步：测试

 

在浏览器中输入:https://localhost:8443/，会弹出选择客户端证书界面，点击“确定”，会进入tomcat主页，地址栏后会有“锁”图标，表示本次会话已经通过HTTPS双向验证，接下来的会话过程中所传输的信息都已经过SSL信息加密。


注意事项：貌似导入证书的时候，最好导入到“个人”那一栏里面，貌似客户端的用户名不填写也是可以的，或者随便填写。

http://licg1234.blog.163.com/blog/static/13908233320121165356868/