本文介绍如何调用https双向认证的webservice。
近期出于信息安全的考虑,要将先前开发的webservice升级为https双向认证的,客户端需要安装证书才能访问的webservcie。至于如何发布https的webservice网上例子很多,这里不再介绍了。本文介绍的前提是,现在有个现成的https的webservice,有客户端秘钥库、客户端秘钥库口令和服务器证书,该如何调用。
本文使用的客户端秘钥是xxx.keystore样子的,若webservice开发方提供的是p12的客户端秘钥可以用下面的命令转换一下:
keytool -importkeystore -srckeystore D:\client.p12 -srcstoretype PKCS12 -deststoretype JKS -destkeystore D:\keystore.keystore。服务器证书没有提供的话,可以用IE访问webservice地址,再从网站上下载服务器证书。拿到服务器证书后,使用keytool生成客户端信任库,命令如下:
keytool -import -file D:\server.cer -keystore D:\client.truststore -alias server
好,现在有了客户端秘钥库client.keystore 和客户端授信库 client.truststore 调用webservice时需要在原来调用webservice的代码之前加上下面的代码:
System.setProperty("javax.net.ssl.keyStore", "D:/client.keystore");
System.setProperty("javax.net.ssl.keyStorePassword", "passwd");
System.setProperty("javax.net.ssl.trustStore", "D:/client.truststore");
System.setProperty("javax.net.ssl.trustStorePassword", "passwd");
如果客户端用的axis2,此时就可以调通了。如果客户端用的cxf,光加上面的代码还不够,还需要再加一段代码,代码详情见官方sample,具体位置在:
apache-cxf-3.0.1\samples\wsdl_first_https\src\main\java\demo\hw_https\client\ClientNonSpring.java
在调用前需要执行setupTLS(xxx)方法。否则会报异常:
org.apache.cxf.interceptor.Fault: Could not send Message.
。。。。。。。。
Caused by: java.net.SocketException: Software caused connection abort: recv failed