HttpClient如何访问需要提交客户端证书的 SSL 服务 1.1 问题背景 自从***一期工程上了CA 认证网关之后,在访问受CA 认证网关保护的应用子系统时,必须提交客户端证书。那么问题来了,如果是人工(通过IE 浏览器)访问子系统自然没问题,访问时会提示选择证书,输入PIN 码等等,照做即可。但是如果是应用程序去访问呢?例如,A 子系统提供了外部接口程序,由于受到CA 认证网关的“保护”,外部程序如何访问A 子系统的接口呢? 1.2 问题分析 应用程序自然没法像人工一样,借助浏览器访问应用子系统。此时外部应用程序如果直接通过HttpGet 或 HttpPost 去访问应用子系统的接口时,会抛异常。 由于上了CA 认证网关之后,实现的是应用系统访问的双向身份认证,即:客户端须验证服务端的身份,服务端也须验证客户端的身份。为了实现双向身份认证,客户端须安装服务端提供的服务端证书,并且客户端在访问服务端时须提交客户端证书。只有这样才能实现应用系统的正常访问。对于人工访问是如此,对于应用程序访问亦是如此。 令人庆幸的是,Apache HttpClient 提供了基于双向认证机制访问SSL 服务的支持。HttpClient 通过自定义一个携带证书的SSL 连接,实现对需双向认证的服务的访问。 1 .3 解决方案 1 .3 .1 准备工作 结合当前案例的实际情况,有一些准备工作要做: 1、 制作客户端带私钥的软证书,并转化成JKS 格式。操作步骤如下: 1)、在用户管理中心注册用户,并推送到证书注册中心; 2)、登录证书注册中心,首先更新用户信息,把证书类型修改为“RSA 个人单向证书”(默认是“RSA 个人双向证书”); 3)、制作证书,在“签发个人证书”时,“证书设备”选择第二个选项(即:Microsoft Enhanced Cryptographic Provider v1.0 ) 4)、导出证书:证书制作完成后就可以在IE 的Internet 选项-内容-证书列表中看到,然后选中该证书,点击导出。导出过程中注意选择“是,导出私钥(Y)”,如图所示: 然后下一步,输入私钥(123456): 最后导出一个.pfx 格式的个人证书: 5)、把 pfx 格式证书转换为 JKS 格式(pfx 格式的证书无法直接引用,需要转换成 keystore 格式,JKS 就是 keystore 格式之一)。至于如何转换,百度一下,你就知道。 2、 把服务端证书(证书链)导入 trust.keystore 中备用。 在本案例中,服务端证书(证书链)包括 ROOT.cer 和 CA.cer。这两个证书须导入 ...
