ssl会话建立的过程(原理)是什么?
交换开始于客户端发出的一条“client_hello”消息,消息包括
客户端支持的SSl版本号
客户端产生的32字节的随机数
一个对应的会话ID
一个支持的密码算法的列表
一个支持的压缩算法的列表
服务器发出消息“server_hello”进行响应,内容包括
服务器从客户端列表中选择的SSL版本号
服务器产生的32字节的随机数
会话ID
从客户端列表中选择的密码算法
选定的压缩算法(通常不进行压缩)
客户端检查服务器的证书和它发出的诸多参数;如果服务器请求客户端证书,那么客户端响应一条证书消息,其中包含了它的X.509证书服务器以客户端发来的“change_cipher_spec”消息作为相应,向客户端消失它也将使用与客户端相同的参数来加密将来所有的通信内容。因为服务器已经收到了客户端计算密钥使用的随机数,它也可以计算与客户端相同的密钥;服务器发送交换结束消息来结束握手过程
服务器上装个证书会不会影响到速度和流量?
答: 当然会增加服务器CPU的处理负担,因为要为每一个SSL连接实现加密和解密,但一般不会影响太大。同时建议注意以下几点以减轻服务器的负担:
(1) 仅为需要加密的页面使用SSL,如https://www.domaincom/login.asp,不要把所有页面都使用https://,特别是访问量最大的首页;
(2) 尽量不要在使用了SSL的页面上设计大块的图片文件和其他大文件,尽量使用简洁的文字页面。
如果网站的访问量非常大,则建议另外购买SSL加速卡来专门负责SSL加解密工作,可以完全不增加服务器任何负担。或另外增加服务器。
服务器证书做双向认证是否需要安装第三方的插件? 常用的webserve 中间件都会有支持客户端认证的功能.配置证书书只需要修改配置文件便可以启用客户认证的功能.不需要安装第三方的插件.
物理服务器出现故障是对证书使用会有什么影响? 及时备份您的证书(私钥,公钥)如果物理服务器出现故障只需要将备份的证书配置到新的服务器上就可以了.不会对证书的使用造成影响. |
