從工作原理理解ssl證書深度知識點，可能很多人上網(wǎng)都沒有注意ssl證書，畢竟現(xiàn)在大多數(shù)的網(wǎng)站都是獲得ssl認證的，我們也不需要太擔心網(wǎng)絡會出現(xiàn)很多的不良狀況，而且現(xiàn)在的監(jiān)管也是比較嚴格的。
 
  ssl證書

  通配符SSL又叫泛域名證書，英文名稱為：WildcardCertificates?？梢员Ｗo一個域名以及該域名所有的二級或者三級子域名，不限制子域名數(shù)量，且添加新的子域名無須重新審核和另外付費，節(jié)約了大量的時間和金錢成本。例如，一個單獨的通配符證書就可以保護www.bitcert.com、blog.bitcert.com和store.bitcert.com。通配符證書可以保護通用域名和您在提交申請時指定的級別下的所有子域。只需在通用域名左側(cè)的子域區(qū)域添加星號(*)即可。

  通配符SSL證書（也稱為泛域名證書或WildcardSSL證書）能夠?qū)崿F(xiàn)一張證書保護同一域名下的所有子域名驗證的SSL證書類型，適合擁有多個子域名的網(wǎng)站使用。通配符型數(shù)字證書在網(wǎng)站部署架構(gòu)比較復雜的企業(yè)中有著廣泛的一樣，管理和續(xù)費等都比普通的證書方便很多。

  通配符證書有兩種驗證等級：DVSSL證書（域名驗證）和OVSSL證書（組織驗證）。適合擁有大量的二級域名/子域用戶申請安裝。
  SSL工作原理
  SSL是一個安全協(xié)議，它提供使用TCP/IP的通信應用程序間的隱私與完整性。因特網(wǎng)的超文本傳輸協(xié)議（HTTP）使用SSL來實現(xiàn)安全的通信。

  在客戶端與服務器間傳輸?shù)臄?shù)據(jù)是通過使用對稱算法（如DES或RC4）進行加密的。公用密鑰算法（通常為RSA）是用來獲得加密密鑰交換和數(shù)字簽名的，此算法使用服務器的SSL數(shù)字證書中的公用密鑰。有了服務器的SSL數(shù)字證書，客戶端也可以驗證服務器的身份。SSL協(xié)議的版本1和2只提供服務器認證。版本3添加了客戶端認證，此認證同時需要客戶端和服務器的數(shù)字證書。

  ssl證書深度知識點
  SSL連接總是由客戶端啟動的，在SSL會話開始時執(zhí)行SSL握手，此握手產(chǎn)生會話的密碼參數(shù)，關于如何處理SSL握手，下面新網(wǎng)就簡單概述一下，此示例假設已在Web瀏覽器和Web服務器間建立了SSL連接。
  (1)客戶端發(fā)送列出客戶端密碼能力的客戶端“您好”消息（以客戶端首選項順序排序），如SSL的版本、客戶端支持的密碼對(加密套件)和客戶端支持的數(shù)據(jù)壓縮方法(哈希函數(shù))。消息也包含28字節(jié)的隨機數(shù)。
  (2)服務器以服務器“您好”消息響應，此消息包含密碼方法（密碼對）和由服務器選擇的數(shù)據(jù)壓縮方法，以及會話標識和另一個隨機數(shù)。
  新網(wǎng)提醒大家：客戶端和服務器至少必須支持一個公共密碼對，否則握手失敗。服務器一般選擇最大的公共密碼對。
  (3)服務器發(fā)送其SSL數(shù)字證書。（服務器使用帶有SSL的X.509V3數(shù)字證書。）
  如果服務器使用SSLV3，而服務器應用程序（如Web服務器）需要數(shù)字證書進行客戶端認證，則客戶端會發(fā)出“數(shù)字證書請求”消息。在“數(shù)字證書請求”消息中，服務器發(fā)出支持的客戶端數(shù)字證書類型的列表和可接受的CA的名稱。
  (4)服務器發(fā)出服務器“您好完成”消息并等待客戶端響應。
  (5)一接到服務器“您好完成”消息，客戶端（Web瀏覽器）將驗證服務器的SSL數(shù)字證書的有效性并檢查服務器的“你好”消息參數(shù)是否可以接受。
  如果服務器請求客戶端數(shù)字證書，客戶端將發(fā)送其數(shù)字證書；或者，如果沒有合適的數(shù)字證書是可用的，客戶端將發(fā)送“沒有數(shù)字證書”警告。此警告僅僅是警告而已，但如果客戶端數(shù)字證書認證是強制性的話，服務器應用程序?qū)箷捠　?br />

  (6)客戶端發(fā)送“客戶端密鑰交換”消息。此消息包含pre-mastersecret（一個用在對稱加密密鑰生成中的46字節(jié)的隨機數(shù)字），和消息認證代碼（MAC）密鑰（用服務器的公用密鑰加密的）。

  如果客戶端發(fā)送客戶端數(shù)字證書給服務器，客戶端將發(fā)出簽有客戶端的專用密鑰的“數(shù)字證書驗證”消息。通過驗證此消息的簽名，服務器可以顯示驗證客戶端數(shù)字證書的所有權(quán)。

  注意：如果服務器沒有屬于數(shù)字證書的專用密鑰，它將無法解密pre-master密碼，也無法創(chuàng)建對稱加密算法的正確密鑰，且握手將失敗。
  (7)客戶端使用一系列加密運算將pre-mastersecret轉(zhuǎn)化為mastersecret，其中將派生出所有用于加密和消息認證的密鑰。然后，客戶端發(fā)出“更改密碼規(guī)范”消息將服務器轉(zhuǎn)換為新協(xié)商的密碼對。客戶端發(fā)出的下一個消息（“未完成”的消息）為用此密碼方法和密鑰加密的第一條消息。
  (8)服務器以自己的“更改密碼規(guī)范”和“已完成”消息響應。

  (9)SSL握手結(jié)束，且可以發(fā)送加密的應用程序數(shù)據(jù)。

  ssl證書深度知識點可能很多人都不知道，畢竟著網(wǎng)絡技術很復雜的，同時我們使用網(wǎng)絡一般都是已經(jīng)配置好了，也不需要擔心各種情況的出現(xiàn)，而且網(wǎng)站管理方也會幫助用戶處理好這方面的問題。