SSL握手中的客户端证书认证

Question

我正在浏览 SSL 协议并试图了解 SSL 握手中涉及的步骤。

现在，用于向服务器验证客户端的“客户端证书
身份验证”已完成。我想详细了解“客户端
证书身份验证”中实际发生的情况。

Answer 1

SSL握手步骤：

1. 客户端向服务器发送客户端的 SSL 版本号、密码设置、随机生成的数据以及服务器使用 SSL 与客户端通信所需的其他信息。
2. 服务器向客户端发送服务器的 SSL 版本号、密码设置、随机生成的数据以及客户端通过 SSL 与服务器通信所需的其他信息。服务器还发送自己的数字证书，如果客户端请求需要客户端身份验证的服务器资源，则请求客户端的数字证书。
3. 客户端使用服务器发送的信息对服务器进行身份验证。如果无法对服务器进行身份验证，则会警告用户无法建立经过加密和身份验证的连接的问题。如果服务器可以成功通过身份验证，则客户端继续。
4. 使用到目前为止在握手中生成的所有数据，客户端为会话创建预主密钥，使用服务器的公钥（从服务器的数字证书获得）对其进行加密，并将加密的预主密钥发送到服务器。
5. 如果服务器已请求客户端身份验证（握手中的可选步骤），则客户端还会签署另一条此握手独有且客户端和服务器都知道的数据。在这种情况下，客户端将签名数据和客户端自己的数字证书与加密的预主密钥一起发送到服务器。
6. 如果服务器已请求客户端身份验证，则服务器会尝试对客户端进行身份验证。如果客户端无法通过身份验证，则会话终止。如果客户端可以成功认证，服务器使用其私钥解密预主密钥，然后执行客户端也执行的一系列步骤，从相同的预主密钥开始生成主密钥。
7. 客户端和服务器都使用主密钥生成会话密钥，这些密钥是用于加密和解密 SSL 会话期间交换的信息并验证其完整性的对称密钥。
8. 客户端通知服务器将来来自客户端的消息将使用会话密钥加密。然后它发送一个单独的加密消息，指示握手的客户端部分已完成。
9. 服务器向客户端发送一条消息，通知它将来来自服务器的消息将使用会话密钥进行加密。然后它发送一个单独的加密消息，指示握手的服务器部分已完成。
10. SSL 握手现已完成，SSL 会话已开始。客户端和服务器使用会话密钥来加密和解密它们相互发送的数据并验证其完整性。

来自：http : //www.pierobon.org/ssl/ch2/diagram.htm