与第三方对接api时，如何进行https单向和双向认证？

Question

和第三方对接api时，有https单向和双向认证两种方式，而彼此的证书又有两种，己方和对方的证书是否得到公共CA认证

我的理解，
1） 我方调对方api，且只认证对方
如果对方证书得到公共CA认证，且我方调用对方，只做单向认证对方的话，用简单的HttpClient/FeignClient，不做任何配置，只要url中用https，不做配置的HttpClient/FeignClient就会自行对对方认证，是这样吗？

2） 我方调对方api，且只认证对方
但是对方证书没得到公共CA认证，且我方调用对方，只做单向认证对方的话，怎么办，对方要提前先给我些什么东西？我方收到请求响应后如何做验证？

3）对方调用我方api，且只认证我方
同2）我方要提前给对方什么东西，我方收到对方请求后代码里要做些什么步骤？

4）如果要双向认证呢？且双方的证书都有公共CA认证，双方需要提前给对方什么东西吗？具体调用过程中，收到请求或者发送请求前，代码里要做些什么步骤？

5）如果要双向认证呢？且一方或者两方的证书都没有公共CA认证，这个只要上面的几个弄清楚了，这个也就清楚了

Answer 1

单向认证的正常调，只要你使用的 HTTP 库支持 HTTPS 就行，就把请求地址开头的协议写成 https 即可。

但有一点需要注意，就是得目标服务器使用的 SSL 证书是正经 CA 签发的。如果是私签证书，要么你需要把证书导入到操作系统中，要么在请求时指定该证书。

---

双向认证的客户端证书一定都是私签证书，在服务端上存一份就好了；服务端证书可以 CA 签，也可以私签。常见的比如微信支付退款 API 时需要携带的证书，这个就是双向认证。