ssl服務器證書應用非常廣泛，常用在金融，電商，保險等各個行業(yè)。只要你的產品和互聯(lián)網(wǎng)有關，涉及到各種私密保密數(shù)據(jù)，必須安裝ssl安全服務器證書。

證書是數(shù)字證書的一種，類似于駕駛證、護照和營業(yè)執(zhí)照的電子副本。因為配置在服務器上，也稱為ssl服務器證書。ssl服務器證書的主要角色就是為網(wǎng)站的機密數(shù)據(jù)進行加密和隱藏，確保數(shù)據(jù)在傳送中不被改變，即數(shù)據(jù)的完整性，現(xiàn)已成為該領域中全球化的標準。由于ssl技術已建立到所有主要的瀏覽器和WEB服務器程序中，因此，僅需安裝服務器證書就可以激活該功能了，即通過它可以激活ssl協(xié)議，實現(xiàn)數(shù)據(jù)信息在客戶端和服務器之間的加密傳輸，可以防止數(shù)據(jù)信息的泄露。保證了雙方傳遞信息的安全性，而且用戶可以通過服務器證書驗證他所訪問的網(wǎng)站是否是真實可靠。

sslssl 來實現(xiàn)安全的通信。

在客戶端與服務器間傳輸?shù)臄?shù)據(jù)是通過使用對稱算法（如 DES 或 RC4）進行加密的。公用密鑰算法（通常為 RSA）是用來獲得加密密鑰交換和數(shù)字簽名的，此算法使用服務器的ssl數(shù)字證書中的公用密鑰。有了服務器的ssl數(shù)字證書，客戶端也可以驗證服務器的身份。ssl 協(xié)議的版本 1 和 2 只提供服務器認證。版本 3 添加了客戶端認證，此認證同時需要客戶端和服務器的數(shù)字證書。

ssl 握手

ssl 連接總是由客戶端啟動的。在ssl 會話開始時執(zhí)行 ssl 握手。此握手產生會話的密碼參數(shù)。關于如何處理 ssl 握手的簡單概述，如下圖所示。此示例假設已在 Web 瀏覽器 和 Web 服務器間建立了 ssl 連接。

圖 ssl的客戶端與服務器端的認證握手

(1) 客戶端發(fā)送列出客戶端密碼能力的客戶端“您好”消息（以客戶端選項順序排序），如 ssl 的版本、客戶端支持的密碼對(加密套件)和客戶端支持的數(shù)據(jù)壓縮方法(哈希函數(shù))。消息也包含 28 字節(jié)的隨機數(shù)。

(2) 服務器以服務器“您好”消息響應，此消息包含密碼方法（密碼對）和由服務器選擇的數(shù)據(jù)壓縮方法，以及會話標識和另一個隨機數(shù)。

注意:客戶端和服務器至少必須支持一個公共密碼對，否則握手失敗。服務器一般選擇大的公共密碼對。

(3) 服務器發(fā)送其ssl數(shù)字證書。（服務器使用帶有 ssl 的 X.509 V3 數(shù)字證書。）

如果服務器使用 ssl V3，而服務器應用程序（如 Web 服務器）需要數(shù)字證書進行客戶端認證，則客戶端會發(fā)出“數(shù)字證書請求”消息。在 “數(shù)字證書請求”消息中，服務器發(fā)出支持的客戶端數(shù)字證書類型的列表和可接受的CA的名稱。

(4) 服務器發(fā)出服務器“您好完成”消息并等待客戶端響應。

(5) 一接到服務器“您好完成”消息，客戶端（ Web 瀏覽器）將驗證服務器的ssl數(shù)字證書的有效性并檢查服務器的“你好”消息參數(shù)是否可以接受。

如果服務器請求客戶端數(shù)字證書，客戶端將發(fā)送其數(shù)字證書；或者，如果沒有合適的數(shù)字證書是可用的，客戶端將發(fā)送“沒有數(shù)字證書”警告。此警告僅僅是警告而已，但如果客戶端數(shù)字證書認證是強制性的話，服務器應用程序將會使會話失敗。

(6) 客戶端發(fā)送“客戶端密鑰交換”消息。此消息包含 pre-master secret（一個用在對稱加密密鑰生成中的 46 字節(jié)的隨機數(shù)字），和 消息認證代碼（ MAC ）密鑰（用服務器的公用密鑰加密的）。

如果客戶端發(fā)送客戶端數(shù)字證書給服務器，客戶端將發(fā)出簽有客戶端的專用密鑰的“數(shù)字證書驗證”消息。通過驗證此消息的簽名，服務器可以顯示驗證客戶端數(shù)字證書的所有權。

注意: 如果服務器沒有屬于數(shù)字證書的專用密鑰，它將無法解密 pre-master 密碼，也無法創(chuàng)建對稱加密算法的正確密鑰，且握手將失敗。

(7) 客戶端使用一系列加密運算將 pre-master secret 轉化為 master secret，其中將派生出所有用于加密和消息認證的密鑰。然后，客戶端發(fā)出“更改密碼規(guī)范” 消息將服務器轉換為新協(xié)商的密碼對?？蛻舳税l(fā)出的下一個消息（“未完成”的消息）為用此密碼方法和密鑰加密的第一條消息。

(8) 服務器以自己的“更改密碼規(guī)范”和“已完成”消息響應。

(9) ssl 握手結束，且可以發(fā)送加密的應用程序數(shù)據(jù)。

各有關單位企業(yè)，強烈推薦選用一款適合自己單位業(yè)務的ssl服務器安全證書。

網(wǎng)頁名稱：SSL服務器證書工作原理
文章鏈接：http://www.rwnh.cn/news/102836.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供小程序開發(fā)、企業(yè)網(wǎng)站制作、靜態(tài)網(wǎng)站、服務器托管、動態(tài)網(wǎng)站、網(wǎng)站建設

廣告

聲明：本網(wǎng)站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)