tu stai implementando il web service? (io ho capito così).
Lato server
Allora devi fare richiesta ad una Certification Authority di certificato (verisign è un esempio, altri non me ne vengono adesso).

Ovviamente il servizio si paga.
Specifica nella richiesta l'uso che vuoi farne del tuo certificato.

Lato client
la tua applicazione deve essere in grado di stabilire una connessione ssl con il tuo server, iniziare l'handshake e ricevere il certificato del server. A quel punto deve poter verificare il certificato, in particolare deve:

1. conoscere il certificato (ci ha già fatto una connessione quindi si fida) oppure
2. conoscere chi ha emesso il certificato (e fidarsi di questo) oppure
3. rivolgersi ad un ente che mantiene una lista di certificati/CA valide e chiedere info sul certificato
4. (opzionale) controllare le CRL per essere sicuri che il certificato in questione (o quello della CA ) non sia stato revocato.

I passi sopra detti vanno ripetuti per ogni certificato presente nella catena di certificati presentati dal server.