SSL和证书

1） 据我所知，在只需要客户端提供证书的情况下，不可能建立SSL连接。知道SSL为什么不允许这样做吗

2） 我假设SSL连接可以配置为：

• 仅要求服务器提供证书
• 要求服务器和客户端都提供证书

3） 可能是个愚蠢的问题，但SSL如何“知道”哪一方是客户端，哪一方是服务器

4） 是否可以在没有SSL请求任何证书的情况下建立SSL连接

多谢各位

如果服务器没有经过身份验证，你就真的无法拥有一个私人通道——中间人很容易窃听，在两个合法方之间传递流量。如果您没有隐私或身份验证，为什么要使用SSL？实际上存在“匿名”模式，即使用公钥加密来约定加密密钥，但客户端或服务器都不提供证书；但是，我从未见过使用它们，可能是因为它们无法解决中间人的窃听攻击

是，服务器提供证书。服务器可以从客户端请求证书。客户端可以使用证书进行响应，也可以忽略请求。如果请求被忽略，服务器可以选择继续使用匿名客户端，或终止连接

客户端和服务器的角色在SSL握手期间建立。第一条消息称为

ClientHello

。发送此消息的一方是客户端。通常，这将是启动TCP连接的一方，但不一定是（事实上，SSL中没有任何东西需要TCP作为传输）

是的，正如我在#1中提到的，SSL具有“匿名”模式，其中任何一方都不能安全地对另一方进行身份验证。这将在未知方之间提供一个私有的、防篡改的通道。然而，因为你不知道谁在频道的另一端，你也不知道是中间的一个人，他同时进行了两次握手，并且拦截了你和你以为在交谈的一方之间的所有流量。为了阻止这种情况，您必须在SSL之上有一个身份验证协议，为了安全起见，该协议将不可避免地看起来非常像经过身份验证的SSL

你好

以下是对您的问题的回答：

1）据我所知，在只需要客户端提供证书的情况下，不可能建立SSL连接。知道SSL为什么不允许这样吗？

将保护位于服务器上的网站，并保护用户计算机与网站之间的数据传输。它还取决于证书的类型

2）我假设SSL连接可以配置为：

仅要求服务器提供证书 要求服务器和客户端都提供证书

服务器确实是必要的。但客户机还需要提供CSR，以便为特定网站提供唯一的SSL证书

3）可能是个愚蠢的问题，但是SSL如何“知道”哪一方是客户端，哪一方是服务器？

客户端和服务器的验证在SSL连接期间完成。当网站的访问者提供重要信息时，只要有SSL证书，它就是安全的，但这也取决于安装的证书类型

4）是否可以在没有SSL请求任何证书的情况下建立SSL连接？

它取决于证书的类型（自动生成或来自证书颁发机构）。SSL证书是唯一的，仅针对特定网站和客户提供的CSR颁发

致以最良好的祝愿

---

你到底想做什么？