c语言 tls单向认证 验证证书,使用wireshark观察SSL/TLS握手过程--双向认证/单向认证...

SSL/TLS握手过程可以分成两种类型：

1)SSL/TLS 双向认证，就是双方都会互相认证，也就是两者之间将会交换证书。

2)SSL/TLS 单向认证，客户端会认证服务器端身份，而服务器端不会去对客户端身份进行验证。

我们知道，握手过程实际上就是通信双方协商交换一个用于对称加密的密钥的过程，而且握手过程是明文的。

这个过程实际上产生三个随机数:client random, server random, pre-master secret. 参考图解SSL/TLS协议 .

前两个随机数都是明文传送的，只有pre-master secret是加密的(RSA或者DH)。

一般生成证书的时候，签名算法可以选择RSA或者DSA算法。

如果server使用RSA证书，RSA即可以用作签名也可以用作不对称加密，pre-master secret就是用server的RSA证书中包含的公钥加密的。

如果server使用DSA证书，DSA只能用作签名，所以还需要使用DH算法来交换密钥。

以下是其流程图(摘自rfc5246)，括号中的步骤是可选的。

如果是单向认证，那么蓝色字体部分是不需要的。

4 server_key_exchange这一步只有在选择了某些密钥交换算法例如DH算法的时候才需要。

Client

Server

1 Client Hello

2 Server Hello

3 certificate

4 (server_key_exchange)

5 (certificate_request)

6 server_hello_done

7 (certificate)

8 client_key_exchange

9 (certifiate_verify)

10 change_cypher_spec

----finished----

11 change_cypher_spec

----finished----

下面使用wireshark抓取握手过程的报文。server/client使用JAVA7/JSSE编码。

server证书签名算法RSA-双向认证