【密码学】SSL双向认证以及证书的制作和使用

1. 客户端认证服务器：

   正规的做法是：到国际知名的证书颁发机构，如VeriSign申请一本服务器证书，比如支付宝的首页，点击小锁的图标，可以看到支付宝是通过VeriSign认证颁发的服务器证书：

   

   我们用的操作系统（windows, linux, unix ,android, ios等）都预置了很多信任的根证书，比如我的windows中就包含VeriSign的根证书，那么浏览器访问服务器比如支付宝www.alipay.com时，SSL协议握手时服务器就会把它的服务器证书发给用户浏览器，而这本服务器证书又是比如VeriSign颁发的，自然就验证通过了。

   国内许多公司的做法：自己做根证书CA（自己充当类似于VeriSign的角色），然后让用户下载安装根CA（当然了，其中只含有公钥）到机器中，12306就是这样干的（SRCA就是12306的根证书），然后再自己给自己颁发服务器证书，这样用户机器上也有他的CA，服务器发来的服务器证书也是这本CA颁发的，当然也顺利通过了。

   

2. 服务器认证客户端：

   服务器端通过根CA给客户端颁发客户端证书，在制作客户端证书时加上和机器相关的信息就可以保证在特定的时候某个帐号只能在这台机器上和服务器交换报文，比如我们用支付宝时必须下载安装数字证书时，可以命名这本证书叫"我的笔记本"或者是"公司电脑"之类的，就是支付宝给用户颁发证书，只能在这台机器上用，你换了机器就必须重新申请。建立SSL连接时，先是服务器将自己的服务器证书发给客户端，验证通过后，客户端就把自己的客户端证书发给服务器进行验证，如果通过，再进行后面的处理。

下面来说说如何自己制作根CA证书以及服务器证书和客户端证书：

客户端安装服务器根证书ca.crt到客户端信任证书库中，服务器端安装服务器根证书ca.crt到服务器信任证书库中。

SSL握手时，服务器先将服务器证书server.p12发给客户端，客户端会到客户端信任证书库中进行验证，

因为server.p12是根证书CA颁发的，所以验证通过；然后客户端将客户端证书client.p12发给服务器，同理因为client.p12是根证书CA颁发的，所以验证通过。

先下载安装xca工具，地址是http://xca.hohnstaedt.de/

先用xca创建一本ca证书

xca打开的界面

依次File, New DataBase，选择xdb文件保存路径，再输入密码

切换到Certificates页面，点击New Certificate

出现如下界面

因为要创建根证书，这里选择序号为1的自认证证书，签名算法选择SHA 256，证书模版选择默认CA，再点击Apply all（这个不能漏）如下所示：

再切到Subject页面，填好各个字段，都可以随便填

再点击Generate a new key生产私钥

最后点击OK，CA证书做好了，有效期默认10年

将根证书导出成只包含公钥的证书格式，这本根证书就是放在网站上供用户下载安装，或主动安装到客户机器中的：

制作服务器证书、客户端证书和制作CA证书差不多，只有两个地方不一样：

1. 选择已经制作好的根CA，然后点击New Certificate

   

   签名时，选择使用根证书，这里是hangzhou进行签名颁发，然后证书模版选择服务器（制作客户端证书就选择HTTPS_client），其他都和制作根证书一样，然后点击Apply all（这个一定不能忘），然后再切到Subject、Extension页面填写相应的东西就OK了

   

   制作完成：

   

   然后再将服务器证书导出来，选择p12格式

   

   同理制作客户端证书，并将之导出，也是p12格式的证书，包含私钥