详解SSL证书系列(9)SSL客户端认证

上一篇介绍了HTTPS和HTTP协议的区别，理解了HTTP加上加密处理和认证以及完整性保护后即是HTTPS，同时HTTPS也是身披SSL外壳的HTTP，那么SSL客户端认证是怎么回事呢？这篇文章我将带领大家来了解一下。

某些Web页面只想让特定的人浏览，或者干脆仅本人可见，为达到这个目标，必不可少的就是认证功能。

何为认证

计算机本身无法判断坐在显示器前的使用者的身份。进一步说，也无法确认网络的那头究竟有谁。可见，为了弄清究竟是谁在访问服务器，就得让双方的客户端自报家门。

可是，就算正在访问服务器的对方声称自己是ueno，身份是否属实这点也无从谈起，为确认ueno本人是否真的具有访问系统的权限，就需要核对“登录者本人才知道的信息”，“登录者本人才会有的信息”。

核对的信息通常是指以下这些：

• 密码：只有本人才知道的字符串信息。
• 动态令牌：仅限本人持有的设备内显示的一次性密码。
• 数字证书：仅限本人（终端）持有的信息。
• 生物认证：指纹和虹膜等本人生理信息。
• IC卡等：仅限本人持有的信息。

但是，即便对方是假冒的用户，只要能通过用户验证，那么计算机就会默认是出自本人的行为。因此，掌控机密信息的密码绝不能让他人得到，更不能轻易就被破解出来。

HTTP常用的几种认证方式

HTTP/1.1使用的几种认证方式有：

• BASIC认证（基本认证）
• DIGEST认证（摘要认证）
• SSL客户端认证
• FormBase认证（表单认证）

那么这篇文章我们主要介绍SSL客户端认证。

SSL客户端认证

从使用用户ID和密码的认证方式方面来讲，只要二者的内容正确，即可认证是本人的行为，但如果用户ID和密码被盗，就很有可能被第三者冒充，利用SSL客户端认证则可以避免该情况的发生。

SSL客户端认证是借由HTTPS的客户端证书完成认证的方式。凭借客户端证书认证，服务器可确认访问是否来自已登录的客户端。

1，SSL客户端认证的认证步骤

为了达到SSL客户端认证的目的，需要事先将客户端证书分发给客户端，且客户端必须安装此证书。

1）接收到需要认证资源的请求，服务器会发送Certificate Request报文，要求客户端提供客户端证书。

2）用户选择将发送的客户端证书后，客户端会把客户端证书信息以Client Certificate报文方式发送给服务器。

3）服务器验证客户端证书验证通过后方可领取证书内客户端的公开密钥，然后开始HTTPS加密通信。

 

2，SSL客户端认证采用双因素认证

在大多数情况下，SSL客户端认证不会仅依靠证书完成认证，一般会和基于表单认证组合形成一种双因素认证来使用。所谓双因素认证就是指，认证过程中不仅需要密码这一个因素，还需要申请认证者提供其它持有的信息，从而作为另一个因素，与其组合使用的认证方式。

换言之，第一个认证因素的SSL客户端证书用来认证客户端计算机，另一个认证因素的密码则用来确定这是用户本人的行为。通过双因素认证后，就可以确认是用户本人正在使用匹配正确的计算机访问服务器。

 

3，SSL客户端认证必要的费用

使用SSL客户端认证需要使用客户端证书，而客户端证书需要支付一定费用才能使用。

虽然现在像阿里云和腾讯云等厂商提供免费证书，但是免费证书只有三个月有效期，到期后需要重新申请和部署，维护成本非常高，并且免费证书不支持申请通配符证书，导致如果有多个二级域名需要证书的时候，就需要申请和维护多个证书，也是非常地麻烦。

 

那么，针对SSL免费证书的不足和痛点，我开发并开源了一个平台：华迅FreeCert平台，支持免费的SSL证书，通配符证书的申请和托管，配合自动部署工具可以实现证书的自动化更新和部署，真正做到一次申请终身自动更新和自动部署，欢迎感兴趣的同学试用！