客户端          因特网         服务器
                                                       （1）客户端发送可供选择的密码并请求证书
                                                              服务
                                                              器证书

                                                        客户端          因特网         服务器
                                                       （2）服务器发送选中的密码和证书
                                                     服务器
                     客户端          因特网         服务器
                     SSL安全参数的握手
                                                        客户端          因特网         服务器
                                                       （3）客户端发送保密信息；客户端和服
                                                       务器生成密钥



                                                        客户端          因特网         服务器
                                                       （4）客户端和服务器互相告知，开始加密过程




                 图 14-16 （简化版）SSL 握手

                 这是 SSL 握手的简化版本。根据 SSL 的使用方式，握手过程可能会复杂一些，但总
                 的思想就是这样。                                                                     325

                 14.7.5 服务器证书

                 SSL 支持双向认证，将服务器证书承载回客户端，再将客户端的证书回送给服务器。
                 而现在，浏览时并不经常使用客户端证书。大部分用户甚至都没有自己的客户端证
                     11
                 书。 服务器可以要求使用客户端证书，但实际中很少出现这种情况。                                12
                 另一方面，安全 HTTPS 事务总是要求使用服务器证书的。在一个 Web 服务器上执行
                 安全事务，比如提交信用卡信息时，你总是希望是在与你所认为的那个组织对话。由
                 知名权威机构签发的服务器证书可以帮助你在发送信用卡或私人信息之前评估你对服
                 务器的信任度。


                 注 11：  在某些公司的网络设置中会将客户端证书用于 Web 浏览，客户端证书还被用于安全电子邮件。未来，
                      客户端证书可能会更经常地用于 Web 浏览，但现在它们发展的速度非常慢。
                 注 12：有些组织的内部网络会使用客户端证书来控制雇员对信息的访问。

                                                                            安全HTTP   ｜   343