??隨著互聯(lián)網(wǎng)的發(fā)展，很多人開始在網(wǎng)上進行信息的傳輸以及網(wǎng)絡(luò)購物，人們開始享受互聯(lián)網(wǎng)所帶來的便利，然而為了保護我們的用戶信息，ssl證書便應(yīng)運而生，如何進行雙向ssl認證顯得非常重要，下面就是小編為大家總結(jié)的相關(guān)知識。

??SSL雙向認證原理

??要想弄明白SSL認證原理，首先要對CA有有所了解，新網(wǎng)中的描述為，它在SSL認證過程中有非常重要的作用。說白了，CA就是一個組織，專門為網(wǎng)絡(luò)服務(wù)器頒發(fā)證書的，國際知名的CA機構(gòu)有VeriSign、Symantec，國內(nèi)的有GlobalSign。每一家CA都有自己的根證書，用來對它所簽發(fā)過的服務(wù)器端證書進行驗證。

??如果服務(wù)器提供方想為自己的服務(wù)器申請證書，它就需要向CA機構(gòu)提出申請。服務(wù)器提供方向CA提供自己的身份信息，CA判明申請者的身份后，就為它分配一個公鑰，并且CA將該公鑰和服務(wù)器身份綁定在一起，并為之簽字，這就形成了一個服務(wù)器端證書。

??如果一個用戶想鑒別另一個證書的真?zhèn)?，他就?CA 的公鑰對那個證書上的簽字進行驗證，一旦驗證通過，該證書就被認為是有效的。證書實際是由證書簽證機關(guān)（CA）簽發(fā)的對用戶的公鑰的認證。

??證書的內(nèi)容包括：電子簽證機關(guān)的信息、公鑰用戶信息、公鑰、權(quán)威機構(gòu)的簽字和有效期等等。目前，證書的格式和驗證方法普遍遵循X.509 國際標(biāo)準。

??雙向認證 SSL 協(xié)議的具體過程

??① 瀏覽器發(fā)送一個連接請求給安全服務(wù)器。

??② 服務(wù)器將自己的證書，以及同證書相關(guān)的信息發(fā)送給客戶瀏覽器。

??③ 客戶瀏覽器檢查服務(wù)器送過來的證書是否是由自己信賴的 CA 中心所簽發(fā)的。如果是，就繼續(xù)執(zhí)行協(xié)議；如果不是，客戶瀏覽器就給客戶一個警告消息：警告客戶這個證書不是可以信賴的，詢問客戶是否需要繼續(xù)。

??④ 接著客戶瀏覽器比較證書里的消息，例如域名和公鑰，與服務(wù)器剛剛發(fā)送的相關(guān)消息是否一致，如果是一致的，客戶瀏覽器認可這個服務(wù)器的合法身份。

??⑤ 服務(wù)器要求客戶發(fā)送客戶自己的證書。收到后，服務(wù)器驗證客戶的證書，如果沒有通過驗證，拒絕連接；如果通過驗證，服務(wù)器獲得用戶的公鑰。

??⑥ 客戶瀏覽器告訴服務(wù)器自己所能夠支持的通訊對稱密碼方案。

??⑦ 服務(wù)器從客戶發(fā)送過來的密碼方案中，選擇一種加密程度最高的密碼方案，用客戶的公鑰加過密后通知瀏覽器。

??⑧ 瀏覽器針對這個密碼方案，選擇一個通話密鑰，接著用服務(wù)器的公鑰加過密后發(fā)送給服務(wù)器。

??⑨ 服務(wù)器接收到瀏覽器送過來的消息，用自己的私鑰解密，獲得通話密鑰。

??⑩ 服務(wù)器、瀏覽器接下來的通訊都是用對稱密碼方案，對稱密鑰是加過密的。

??如何自己創(chuàng)建證書

??每個證書發(fā)布機構(gòu)都有自己的用來創(chuàng)建證書的工具，當(dāng)然，具體他們怎么去創(chuàng)建一個證書的我也不太清楚，不同類型的證書都有一定的格式和規(guī)范，我沒有仔細去研究過這部分內(nèi)容。微軟為我們提供了一個用來創(chuàng)建證書的工具makecert.exe，在安裝Visual Studio的時候會安裝上。如果沒有安裝也無所謂，可以上新網(wǎng)去下一個，搜索makecert就可以了?？梢灾苯訌奈业牟┛拖螺d，這是鏈接。

??向一些正規(guī)的證書發(fā)布機構(gòu)申請證書一般是要收費的(因為別人要花時間檢查你的身份，確認有沒有同名的證書等等)，這里我們看下如何自己創(chuàng)建一個證書，為后面在IIS中配置Https做準備。

??相信大家看完之后都會有自己的感觸，我們的網(wǎng)絡(luò)信息和我們的日常生活息息相關(guān)，自主的保護才能使我們的生活免受打擾，因此進行雙向ssl認證非常的重要。