如何实现通过SSL进行Web服务通信的Web服务？

如果您使用可信CA颁发的证书，则不需要额外的配置。但我想你会使用自签名证书，因为你有多个服务器，并且它们的使用不是公开的

每台服务器都需要自己的SSL证书绑定到服务器的IP或主机名。我建议为根颁发的每个服务器证书创建一个根证书和一个SSL证书。也可以使用通配符类型* .domain.com。

您必须将根证书包含在客户端应用程序的信任库中以实现成功的SSL连接。要做到这一点创建JKS密钥存储包含根证书和定义信任存储如下

System.setProperty ("javax.net.ssl.trustStore","path/to/your/truststore"); 
System.setProperty ("javax.net.ssl.trustStorePassword", "password"); 

您可以在jre/lib/security/cacerts

还可以修改默认的信任。如果你需要一些步骤的详细内容，请评论

EDITED

创建和分发证书，您可以评估几个选项

1）通配符证书* .domain.com

它允许多个服务器共享使用同一证书的域。证书将包含在安装程序中，并且公共部分将放入客户机的密钥库中。新的复制服务器不需要客户端上的其他配置。我认为它不适用，因为您可能不控制复制服务器的DNS。

2）无根CA

每个服务器生成自己的自签名证书自签名证书。然后，客户必须信任该证书，方法是将其包含在trustore中。 通常我不会推荐自动下载过程，因为它涉及连接到一个不安全的源（现在），从ssl连接获取证书X509，打开信任库并添加一个新证书，但由于有一个操作员明确地执行操作，我认为这是可行的

检查答案在这里https://*.com/a/37861267/6371459显示如何创建一个自定义TrustManager依靠主机。在此之后打开信任库文件在你的服务器上，添加证书并保存（见Programmatically Import CA trust cert into existing keystore file without using keytool）

3）自签名证书根CA

该证书在客户端上创建的，但由您的PKI签署（使用公钥基础设施）。优点是您的客户端只需将根CA包含在信任库中。每当您使用由此根CA颁发的证书时，都会信任新的复制服务器。

出于安全原因，您不应该在安装程序中包含CA证书的私钥。那么，现在证书的创建将变得更加复杂。以前的一种选择是为新主机名创建证书并将其与安装程序一起发送。另一个选择是创建一个PKI基础结构，并带有一个负责签署证书的服务器