SSL證書做雙向認(rèn)證是否需要安裝第三方的插件？常用的webserver 中間件都會(huì)有支持客戶端認(rèn)證的功能，配置SSL證書只需要修改配置文件便可以啟用客戶認(rèn)證的功能，而不需要安裝第三方的插件。如果對(duì)認(rèn)證

SSL證書做雙向認(rèn)證是否需要安裝第三方的插件？

常用的webserver 中間件都會(huì)有支持客戶端認(rèn)證的功能，配置SSL證書只需要修改配置文件便可以啟用客戶認(rèn)證的功能，而不需要安裝第三方的插件。如果對(duì)認(rèn)證仍有疑問，可以找天威誠(chéng)信等專業(yè)的CA機(jī)構(gòu)進(jìn)行咨詢。

認(rèn)證原理，SSL雙向認(rèn)證和SSL單向認(rèn)證的區(qū)別？

雙向認(rèn)證SSL協(xié)議的具體通訊過程，這種情況要求服務(wù)器和客戶端雙方都有證書。單向認(rèn)證SSL協(xié)議不需要客戶端擁有CA證書，以及在協(xié)商對(duì)稱密碼方案，對(duì)稱通話密鑰時(shí)，服務(wù)器發(fā)送給客戶端的是沒有加過密的（這并不影響SSL過程的安全性）密碼方案。這樣，雙方具體的通訊內(nèi)容，就是加密過的數(shù)據(jù)。如果有第三方攻擊，獲得的只是加密的數(shù)據(jù)，第三方要獲得有用的信息，就需要對(duì)加密的數(shù)據(jù)進(jìn)行解密，這時(shí)候的安全就依賴于密碼方案的安全。而幸運(yùn)的是，目前所用的密碼方案，只要通訊密鑰長(zhǎng)度足夠的長(zhǎng)，就足夠的安全。這也是我們強(qiáng)調(diào)要求使用128位加密通訊的原因。一般Web應(yīng)用都是采用單向認(rèn)證的，原因很簡(jiǎn)單，用戶數(shù)目廣泛，且無(wú)需做在通訊層做用戶身份驗(yàn)證，一般都在應(yīng)用邏輯層來保證用戶的合法登入。但如果是企業(yè)應(yīng)用對(duì)接，情況就不一樣，可能會(huì)要求對(duì)客戶端（相對(duì)而言）做身份驗(yàn)證。這時(shí)就需要做雙向認(rèn)證。

ssl雙向認(rèn)證客戶端需要哪些證書？

服務(wù)器端通過根CA給客戶端頒發(fā)客戶端證書，在制作客戶端證書時(shí)加上和機(jī)器相關(guān)的信息就可以保證在特定的時(shí)候某個(gè)帳號(hào)只能在這臺(tái)機(jī)器上和服務(wù)器交換報(bào)文，比如我們用支付寶時(shí)必須下載安裝數(shù)字證書時(shí)，可以命名這本證書叫"某某的筆記本"或者是"公司電腦"之類的，就是支付寶給用戶頒發(fā)證書，只能在這臺(tái)機(jī)

器上用，你換了機(jī)器就必須重新申請(qǐng)。建立SSL連接時(shí)，先是服務(wù)器將自己的服務(wù)器證書發(fā)給客戶端，驗(yàn)證通過后，客戶端就把自己的客戶端證書發(fā)給服務(wù)器進(jìn)行

驗(yàn)證，如果通過，再進(jìn)行后面的處理。

客戶端安裝服務(wù)器根證書ca.crt到客戶端信任證書庫(kù)中，服務(wù)器端安裝服務(wù)器根證書ca.crt到服務(wù)器信任證書庫(kù)中。

SSL握手時(shí)，服務(wù)器先將服務(wù)器證書server.p12發(fā)給客戶端，客戶端會(huì)到客戶端信任證書庫(kù)中進(jìn)行驗(yàn)證，因?yàn)閟erver.p12是根證書CA頒發(fā)的，所以驗(yàn)證通過；然后客戶端將客戶端證書client.p12發(fā)給服務(wù)器，同理因?yàn)閏lient.p12是根證書CA頒發(fā)的，所以驗(yàn)證通過。