SSL/TLS 證書是用于用戶瀏覽器和網(wǎng)站服務(wù)器之間的數(shù)據(jù)傳輸加密，實(shí)現(xiàn)互聯(lián)網(wǎng)傳輸安全保護(hù)，大多數(shù)情況下指的是服務(wù)器證書。服務(wù)器證書是用于向?yàn)g覽器客戶端驗(yàn)證服務(wù)器，這種是屬于單向認(rèn)證的SSL證書。但是，如果服務(wù)器需要對客戶端進(jìn)行身份驗(yàn)證，該怎么辦？這就需要雙向認(rèn)證證書。

為什么需要另一種認(rèn)證方式的證書？因?yàn)楫?dāng)同時使用兩種認(rèn)證方式的證書時，有助于雙方（即客戶端和服務(wù)器端）之間的相互認(rèn)證。另外，與標(biāo)準(zhǔn)SSL證書不同的是，雙向認(rèn)證的SSL證書實(shí)際上被稱作為個人認(rèn)證證書(PAC)。

在了解SSL證書的兩種認(rèn)證方式之前，您必須先要了解如何創(chuàng)建HTTPS連接的。

SSL身份驗(yàn)證的工作原理

• 網(wǎng)站所有者為其網(wǎng)站域名購買SSL證書，CA遵循國際行業(yè)驗(yàn)證標(biāo)準(zhǔn)對申請人身份和域名所有權(quán)進(jìn)行驗(yàn)證。驗(yàn)證成功后，CA為該域名頒發(fā)SSL證書。
• 網(wǎng)站所有者將CA機(jī)構(gòu)頒發(fā)的SSL證書公鑰和私鑰都安裝到網(wǎng)站服務(wù)器上。
• 當(dāng)客戶端瀏覽器提交HTTPS請求，將進(jìn)行SSL握手。
• 當(dāng)SSL握手結(jié)束后，瀏覽器將生成會話密鑰，并使用服務(wù)器SSL / TLS證書中的公鑰對會話密鑰進(jìn)行加密。
• 會話密鑰發(fā)送到服務(wù)器后，服務(wù)器使用相應(yīng)的私鑰對會話密鑰解密。
• 客戶端瀏覽器與服務(wù)器雙方利用這個會話密鑰加密解密傳輸過程的所有數(shù)據(jù)。

之所以在上述過程中強(qiáng)調(diào)“ SSL握手”一詞，是因?yàn)樵趩蜗蛘J(rèn)證和雙向認(rèn)證流程中，只有使用的證書類型和SSL握手過程本身不同，而所有其他步驟是一樣的。

現(xiàn)在，在了解了SSL基礎(chǔ)知識后，我們再進(jìn)一步探討單向認(rèn)證SSL和雙向認(rèn)證的含義和工作過程。

如何使用常規(guī)的SSL證書進(jìn)行單向認(rèn)證？

什么是單向認(rèn)證SSL證書？

在所有通信中，涉及兩個端點(diǎn)，即瀏覽器和它所連接的網(wǎng)站（即客戶端和服務(wù)器）。 在單向SSL身份認(rèn)證過程中，僅驗(yàn)證一個端點(diǎn)（服務(wù)器）的身份。 當(dāng)您嘗試打開網(wǎng)站時，您的瀏覽器會通過檢查網(wǎng)站的SSL證書來驗(yàn)證網(wǎng)站服務(wù)器的合法性。單向認(rèn)證SSL證書也稱為服務(wù)器身份認(rèn)證證書。

SSL單向認(rèn)證流程

在整個SSL握手流程中，僅僅單向驗(yàn)證了服務(wù)器的SSL證書。因此，這個單向認(rèn)證過程使客戶端瀏覽器可以連接到正確的網(wǎng)站服務(wù)器，并且僅通過安全連接將所有數(shù)據(jù)傳輸?shù)侥繕?biāo)站點(diǎn)。

接下來，我們再了解雙向認(rèn)證的相關(guān)知識。

如何使用個人認(rèn)證證書進(jìn)行雙向認(rèn)證？

什么是雙向認(rèn)證證書？

雙向認(rèn)證是指在SSL握手過程中將同時驗(yàn)證客戶端和服務(wù)器的身份，所以雙向認(rèn)證SSL證書至少包括兩個或兩個以上的證書，一個是服務(wù)器證書，另一個或多個是客戶端證書（即個人認(rèn)證證書）。

雙向認(rèn)證流程

雙向認(rèn)證SSL握手過程與單向認(rèn)證有所不同。大部分步驟與單向認(rèn)證過程一樣，但是，當(dāng)客戶端成功驗(yàn)證服務(wù)器后，會增加服務(wù)器驗(yàn)證客戶端的流程步驟，具體如下圖紅色標(biāo)注所示：

正如您所見，雙向認(rèn)證過程中，SSL握手多了兩個步驟，也就是多了服務(wù)器驗(yàn)證客戶端身份的流程。

雙向認(rèn)證的必備條件

• 私鑰
• 個人認(rèn)證證書
• CA根證書
• CA中間證書（非所有情況下必需）

有了以上必備東西，當(dāng)客戶端驗(yàn)證服務(wù)器身份后，服務(wù)器才能驗(yàn)證客戶端身份。雙方都有自己獨(dú)立的SSL證書，而且這些證書必須是由受信任的第三方CA機(jī)構(gòu)頒發(fā)的。

為什么需要雙向認(rèn)證SSL證書？

了解了單向認(rèn)證和雙向認(rèn)證在SSL握手過程中的不同后，新的問題出現(xiàn)了：為什么需要雙向認(rèn)證證書？網(wǎng)站使用雙向認(rèn)證將選擇哪些客戶端與其進(jìn)行安全通信？

因?yàn)殡p向認(rèn)證需要服務(wù)器和客戶端提供身份認(rèn)證，只能是服務(wù)器允許的客戶方能訪問，安全性相對于高一些。所以需要做雙向認(rèn)證的SSL證書多數(shù)是企業(yè)，尤其是像金融行業(yè)等對安全性要求較高的企業(yè)。

比如，一個企業(yè)有自己的內(nèi)部網(wǎng)站，該網(wǎng)站主要是用于員工查詢信息和官方事務(wù)交流的。他們不希望任何人都可以這樣自由訪問內(nèi)部網(wǎng)站。這種情況下，就可以選擇使用雙向認(rèn)證的SSL證書驗(yàn)證客戶端身份，然后再讓他們訪問網(wǎng)站。如此一來，企業(yè)可避免網(wǎng)絡(luò)犯罪分子和僵尸程序進(jìn)入該內(nèi)部網(wǎng)站，降低不安全性風(fēng)險。

總的來說，一般Web應(yīng)用都是采用SSL單向認(rèn)證的，用戶數(shù)自由無限制，且無需在通訊層對用戶身份進(jìn)行驗(yàn)證，一般都在應(yīng)用邏輯層來保證用戶的合法登入。但如果是企業(yè)應(yīng)用對接，數(shù)據(jù)信息相對較多且復(fù)雜，可能會要求對客戶端做身份驗(yàn)證，這時就需要做SSL雙向認(rèn)證，這也是保護(hù)公司內(nèi)部數(shù)據(jù)信息的最好的方法。