SSL證書做雙向認(rèn)證是否需要安裝第三方的插件？常用的webserver 中間件都會有支持客戶端認(rèn)證的功能，配置SSL證書只需要修改配置文件便可以啟用客戶認(rèn)證的功能，而不需要安裝第三方的插件。如果對認(rèn)證

SSL證書做雙向認(rèn)證是否需要安裝第三方的插件？

常用的webserver 中間件都會有支持客戶端認(rèn)證的功能，配置SSL證書只需要修改配置文件便可以啟用客戶認(rèn)證的功能，而不需要安裝第三方的插件。如果對認(rèn)證仍有疑問，可以找天威誠信等專業(yè)的CA機構(gòu)進(jìn)行咨詢。

認(rèn)證原理，SSL雙向認(rèn)證和SSL單向認(rèn)證的區(qū)別？

雙向認(rèn)證SSL協(xié)議的具體通訊過程，這種情況要求服務(wù)器和客戶端雙方都有證書。單向認(rèn)證SSL協(xié)議不需要客戶端擁有CA證書，以及在協(xié)商對稱密碼方案，對稱通話密鑰時，服務(wù)器發(fā)送給客戶端的是沒有加過密的（這并不影響SSL過程的安全性）密碼方案。這樣，雙方具體的通訊內(nèi)容，就是加密過的數(shù)據(jù)。如果有第三方攻擊，獲得的只是加密的數(shù)據(jù)，第三方要獲得有用的信息，就需要對加密的數(shù)據(jù)進(jìn)行解密，這時候的安全就依賴于密碼方案的安全。而幸運的是，目前所用的密碼方案，只要通訊密鑰長度足夠的長，就足夠的安全。這也是我們強調(diào)要求使用128位加密通訊的原因。一般Web應(yīng)用都是采用單向認(rèn)證的，原因很簡單，用戶數(shù)目廣泛，且無需做在通訊層做用戶身份驗證，一般都在應(yīng)用邏輯層來保證用戶的合法登入。但如果是企業(yè)應(yīng)用對接，情況就不一樣，可能會要求對客戶端（相對而言）做身份驗證。這時就需要做雙向認(rèn)證。

ssl雙向認(rèn)證客戶端需要哪些證書？

服務(wù)器端通過根CA給客戶端頒發(fā)客戶端證書，在制作客戶端證書時加上和機器相關(guān)的信息就可以保證在特定的時候某個帳號只能在這臺機器上和服務(wù)器交換報文，比如我們用支付寶時必須下載安裝數(shù)字證書時，可以命名這本證書叫"某某的筆記本"或者是"公司電腦"之類的，就是支付寶給用戶頒發(fā)證書，只能在這臺機

器上用，你換了機器就必須重新申請。建立SSL連接時，先是服務(wù)器將自己的服務(wù)器證書發(fā)給客戶端，驗證通過后，客戶端就把自己的客戶端證書發(fā)給服務(wù)器進(jìn)行

驗證，如果通過，再進(jìn)行后面的處理。

客戶端安裝服務(wù)器根證書ca.crt到客戶端信任證書庫中，服務(wù)器端安裝服務(wù)器根證書ca.crt到服務(wù)器信任證書庫中。

SSL握手時，服務(wù)器先將服務(wù)器證書server.p12發(fā)給客戶端，客戶端會到客戶端信任證書庫中進(jìn)行驗證，因為server.p12是根證書CA頒發(fā)的，所以驗證通過；然后客戶端將客戶端證書client.p12發(fā)給服務(wù)器，同理因為client.p12是根證書CA頒發(fā)的，所以驗證通過。