2026-05-05 05:04:02      點(diǎn)擊：789

隨著(zhù)互??聯(lián)網(wǎng)的證原發(fā)展，很多人開(kāi)始在網(wǎng)上進(jìn)行信息的理及傳輸以及網(wǎng)絡(luò )購物??，人們開(kāi)始享受互??聯(lián)網(wǎng)所帶來(lái)的相關(guān)便利，然而為了保護我們的過(guò)程用戶(hù)信息，ssl證書(shū)( ?▽?)便應運而生，證原如何進(jìn)行雙向ssl認證顯得非常重要，理及下面就是相關(guān)小編為大家總結的相關(guān)知識。 SSL雙向認證原理(′?ω?`) 要想弄明白SSL認證原理，過(guò)程首先要對CA有有所了解，證原新網(wǎng)中的理及描述為，它(ta)在SSL認證過(guò)程中有非常重要的相關(guān)作用。說(shuō)白了，過(guò)程CA就是證原一個(gè)組織，專(zhuān)門(mén)為網(wǎng)絡(luò )服務(wù)器頒發(fā)證書(shū)的理及，國際知名的相??關(guān)CA機構有VeriSign、S(╬?益?)ymantec，國內的有GlobalSign。每一家??CA都有(O_O)自己的根證書(shū)，用來(lái)對它所簽發(fā)過(guò)的服務(wù)器端證書(shū)進(jìn)行驗證。 如果服務(wù)器提供方(╬?益?)想為自己的服務(wù)器申請證書(shū)，它就需要向CA機構提出申請。服務(wù)器提供方向CA提供自己的身份信息，CA判明申請者的身份后，就為它分配一個(gè)公鑰，并且CA將該公鑰和服務(wù)器身份綁定在一??起，并為之簽??字，這就形成(T_T)了一個(gè)服務(wù)器端證書(shū)??。 如果一個(gè)用戶(hù)想鑒別另一個(gè)證書(shū)的真偽，他就用 CA 的公鑰對那個(gè)證書(shū)上的簽字進(jìn)行驗證，一旦驗證通過(guò)，該證書(shū)就被認為是有效的。證書(shū)實(shí)際是由證書(shū)簽證機關(guān)（CA）簽發(fā)的對用戶(hù)的公鑰的認證。 證書(shū)的內容包括：電子簽(??-)?證機關(guān)的信息、公鑰用戶(hù)信息、公鑰、權威機構的簽?字和有效期等等。(′ω｀*)目前，證書(shū)的格式和驗證方法普遍遵循X.509 國際標準。

雙向認證 SSL 協(xié)議的具體過(guò)程 ① 瀏覽器發(fā)送(′?ω?`)一個(gè)連接請求給安全服務(wù)器。 ② 服務(wù)器將自己的證書(shū)，以及同證書(shū)相關(guān)的信息發(fā)送給客戶(hù)瀏覽器。 ③ 客戶(hù)瀏覽器檢查服務(wù)器送過(guò)來(lái)的證書(shū)是否是由自己信賴(lài)的 CA 中心所簽發(fā)的。如果是，就繼續執行協(xié)議；如果不是，客戶(hù)瀏覽器就給客戶(hù)一個(gè)警告消??息：警告客戶(hù)這個(gè)證書(shū)不是可以信賴(lài)的，詢(xún)問(wèn)客戶(hù)是否需要繼續。 ④ 接著(zhù)客戶(hù)瀏覽器比較證書(shū)里的消息，例如域名和公鑰，與服務(wù)器剛剛發(fā)送的相關(guān)消息是??否一致，如果是一致的，客戶(hù)瀏覽??器認可這個(gè)服務(wù)器的合法身份。 ⑤ 服務(wù)器要求客戶(hù)發(fā)送客戶(hù)自己的證書(shū)。收到后，服務(wù)器??驗證客戶(hù)的證書(shū)，如果沒(méi)有通過(guò)驗證，拒絕連接；如果通過(guò)驗證，服務(wù)器獲得用戶(hù)的公鑰。 ⑥ 客戶(hù)瀏覽器告訴服務(wù)器自己所能??夠支持的通訊對稱(chēng)密碼方案。 ⑦ 服務(wù)器從客戶(hù)發(fā)送過(guò)來(lái)的密碼方案中，選擇一種加密程度最高的密碼方案，用客戶(hù)的公鑰加過(guò)密后通知瀏覽器。 ⑧ 瀏覽器針對這個(gè)密碼方案，選擇一個(gè)通話(huà)密鑰，接著(zhù)(zhe)用服務(wù)器的公鑰加過(guò)密后發(fā)送給服務(wù)器。 ⑨ 服務(wù)器接收到瀏覽器送過(guò)來(lái)的消息，用自己的私鑰解密，獲得通話(huà)密鑰。 ⑩ 服務(wù)器、瀏覽器接下來(lái)的通訊都是用(yong)對稱(chēng)密碼方案(′?ω?`)，對稱(chēng)密鑰是加過(guò)密的。 如何自己創(chuàng )建證書(shū) 每個(gè)證書(shū)發(fā)布機構都有自己的用來(lái)創(chuàng )建證書(shū)的工具，當然┐(′?｀)┌，具體他們怎么去創(chuàng )建一個(gè)證書(shū)的我也不太清楚，不同類(lèi)型的證書(shū)都有一定的格式和規范，我沒(méi)有仔細去研究過(guò)這部分內容。微軟為我們提供了一個(gè)(ge)用來(lái)創(chuàng )建證書(shū)的工具makecert.exe，在安裝Visual Studio的時(shí)候會(huì )安裝上。如果沒(méi)有安裝也無(wú)所謂，可以上新網(wǎng)去下一個(gè)，搜索makecert就可以了?？梢灾苯訌奈业牟┛拖螺d，這是鏈接(jie)。 向一些正規的證書(shū)發(fā)(?⊿?)布機構申請證書(shū)一般是要收費的(因為別人要花時(shí)間檢ヽ(′ー｀)ノ查你的身份，確認有沒(méi)有同名的??證書(shū)等等)，這里我們看下如何自己創(chuàng )建一個(gè)證書(shū)，為后面在IIS中配置Https做準備。 相信大家看完之后都??會(huì )有自己的感觸，我們的網(wǎng)絡(luò )信息和我們的日常生活息息相關(guān)(╬?益?)，自主的保護才能使我們的生活免受打擾，因此進(jìn)行雙向ssl認證非常的重要。