在HttpClient的使用过程中，难免会遇到请求的传输协议为Https，而https与http的区别在上一篇文章做出了介绍，这里不再赘述。https与http最大的区别在于SSL加密传输协议的使用。参考了大部分博客之后我发现许多人在实验中选择直接信任所有的服务器证书，却没有描述如何信任，怎么去不信任。以下是个人的理解，如有错误还麻烦指点一下。

在https协议中正常来说服务器与客户端都需要做证书验证处理，也就是双向的。但是如果服务器不要求客户端有证书（并不会对客户端提供的证书做处理），或者服务器并没有提供证书，又或者两方都没有证书，就变成了单向的。

证书的验证是证书的验证，并不会影响到加密传输版本或内容

生成本地证书

https://jingyan.baidu.com/article/a948d6515d3e850a2dcd2ee6.html?qq-pf-to=pcqq.c2c
百度经验上关于生成本地证书的步骤描述

https://www.cnblogs.com/fron/p/https-20170111.html
https://www.cnblogs.com/duanxz/p/5146340.html
参考过的博客

为什么要生成本地证书呢，本地证书有什么用呢？

证书本来是需要申请的，并且大多都不是免费的，在这里生成的本地证书只能在本地使用（可以理解为自己测试服务器与客户端https请求），因为证书其实也只是电子数据，可以称之为证书取决于提供证书的权威机构CA(Certificate Authority，数字证书认证机构)，你自己本地使用keytool为Tomcat生成证书，其实只是给你自己看的。只有当你在本地的服务端（Tomcat）配置了信任指定的本地证书，并在客户端发送请求时配置了本地证书，服务端才能信任客户端证书，反之亦然。然而局域网外的服务器并不信任你自己生成的证书。

如何使Tomcat服务器/客户端信任本地证书呢？

在本地使用的前提下，要使得Tomcat服务器信任本地证书，有两种方式：
1.在上文的百度经验中有提到，配置Tomcat服务器/客户端的信任证书文件。
2.如果是自己写的JAVA HttpClient程序，并且想手动验证证书，则需要实现 接口X509TrustManager

实现思路
https://www.cnblogs.com/gyadmin/p/8084883.html

通过X509Certificate类提供的方法来验证证书

https://docs.oracle.com/javase/7/docs/api/java/security/cert/X509Certificate.html

  @Override
              public void checkServerTrusted(X509Certificate[] chain,
                      String authType)
                      throws CertificateException {
                  for (X509Certificate cert : chain) {

                      // Make sure that it hasn't expired.
                      cert.checkValidity();

                      // Verify the certificate's public key chain.
                      try {
                          cert.verify(((X509Certificate) ca).getPublicKey());
                      } catch (NoSuchAlgorithmException e) {
                          e.printStackTrace();
                      } catch (InvalidKeyException e) {
                          e.printStackTrace();
                      } catch (NoSuchProviderException e) {
                          e.printStackTrace();
                      } catch (SignatureException e) {
                          e.printStackTrace();
                      }
                  }
              }

使用自己的证书信任管理器类：

//创建SSLContext对象，并使用我们指定的信任管理器初始化
TrustManager[] tm = {new MyX509TrustManager ()};
SSLContext sslContext = SSLContext.getInstance("SSL","SunJSSE");
sslContext.init(null, tm, new java.security.SecureRandom());

//从上述SSLContext对象中得到SSLSocketFactory对象
SSLSocketFactory ssf = sslContext.getSocketFactory();

//创建HttpsURLConnection对象，并设置其SSLSocketFactory对象
HttpsURLConnection httpsConn = (HttpsURLConnection)myURL.openConnection();
httpsConn.setSSLSocketFactory(ssf);

网上的教程都是在客户端绕过验证服务器证书的步骤，也就是实现空的X509TrustManager方法

// 实现一个X509TrustManager接口，用于绕过验证，不用修改里面的方法  
        X509TrustManager trustManager = new X509TrustManager() {
            @Override
            //检查客户端的证书
            public void checkClientTrusted(java.security.cert.X509Certificate[] paramArrayOfX509Certificate,
                    String paramString) throws CertificateException {
            }

            @Override
            //检查服务器的证书
            public void checkServerTrusted(java.security.cert.X509Certificate[] paramArrayOfX509Certificate,
                    String paramString) throws CertificateException {
            }

            @Override
            //返回受信任的X509证书数组
            public java.security.cert.X509Certificate[] getAcceptedIssuers() {
                return null;
            }
        };

类中的验证方法返回void或者null，是为了绕过验证。正常的方法体如果检验出证书无法被信任，需要手动抛出异常：
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building
failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
并在chtch中处理异常，如果想要绕过验证，也就是说不要抛出异常就可以了，可以理解为信任了任何证书。