其實之前搞明白過一次了，但可能印象不深刻，然后又回到之前的錯誤理解?，F在詳細自己寫寫，讓自己徹底明白。

小知識：
對稱密鑰： 加密、解密用同樣的 密鑰。缺點：一般要事先把密鑰明文（或者密文，不過還得告訴對方解密方法，反正就是不那么安全）通過人工的方法告訴客戶。
非對稱密鑰：加密用公鑰（也稱證書，用于加密），解密用私鑰（也稱KEY，用于解密）。公鑰 可以 隨便給任何人，反正加密的東西必須要私鑰才能解密，私鑰必須保密。缺點：速度慢，機器壓力大（取決于計算機能力）。
SSL（Secure Socket Layer）：用于通訊過程中的加解密東東。既用了非對稱密鑰，又用了對稱密鑰。在握手過程中，自動交換公鑰，相互琢磨出一個對稱密鑰。然后用這個對稱密鑰快樂的通信。TLS就是SSL的一個版本。

之前對SSL的想法（完全誤解）

1.單向認證（一般服務器驗客戶端）：

a. 服務器 有 證書和key，客戶端沒有;
b. 握手的時候，服務器把 證書傳給客戶端;
c. 進行通信的時候，客戶端把通信內容加密，發過去給服務器，而服務器用 key 來解密獲取明文,而服務器發過來的報文不進行任何加密，也就是明文。

2.雙向認證：

a. 服務器和客戶端均有證書和key；
b. 握手的時候，服務器 和 客戶端相互交換各自證書；
c. 通信過程中，客戶端用 服務器證書 加密 內容 發給服務器，服務器用 服務器key來對內容進行解密 而獲取明文，反之 亦同；

正解

1.單向認證（一般服務器驗客戶端）：

① 客戶端的瀏覽器向服務器傳送客戶端 SSL 協議的版本號，加密算法的種類，產生的隨機數，以及其他服務器和客戶端之間通訊所需要的各種信息。
　 ② 服務器向客戶端傳送 SSL 協議的版本號，加密算法的種類，隨機數以及其他相關信息，同時服務器還將向客戶端傳送自己的證書。
　 ③ 客戶利用服務器傳過來的信息驗證服務器的合法性，服務器的合法性包括：證書是否過期，發行服務器證書的 CA 是否可靠，發行者證書的公鑰能否正確解開服務器證書的“發行者的數字簽名”，服務器證書上的域名是否和服務器的實際域名相匹配。如果合法性驗證沒有通過，通訊將斷開；如果合法性驗證通過，將繼續進行第四步。
　　④ 用戶端隨機產生一個用于后面通訊的“對稱密碼”，然后用服務器的公鑰（服務器的公鑰從步驟②中的服務器的證書中獲得）對其加密，然后將加密后的“預主密碼”傳給服務器。
　?、?如果服務器要求客戶的身份認證（在握手過程中為可選），用戶可以建立一個隨機數然后對其進行數據簽名，將這個含有簽名的隨機數和客戶自己的證書以及加密過的“預主密碼”一起傳給服務器。
　　⑥ 如果服務器要求客戶的身份認證，服務器必須檢驗客戶證書和簽名隨機數的合法性，具體的合法性驗證過程包括：客戶的證書使用日期是否有效，為客戶提供證書的 CA 是否可靠，發行 CA 的公鑰能否正確解開客戶證書的發行 CA 的數字簽名，檢查客戶的證書是否在證書廢止列表（CRL）中。檢驗如果沒有通過，通訊立刻中斷；如果驗證通過，服務器將用自己的私鑰解開加密的“預主密碼”，然后執行一系列步驟來產生主通訊密碼（客戶端也將通過同樣的方法產生相同的主通訊密碼）。
　?、?服務器和客戶端用相同的主密碼即“通話密碼”，一個對稱密鑰用于 SSL 協議的安全數據通訊的加解密通訊。同時在 SSL 通訊過程中還要完成數據通訊的完整性，防止數據通訊中的任何變化。
　?、?客戶端向服務器端發出信息，指明后面的數據通訊將使用的步驟⑦中的主密碼為對稱密鑰，同時通知服務器客戶端的握手過程結束。
　?、?服務器向客戶端發出信息，指明后面的數據通訊將使用的步驟⑦中的主密碼為對稱密鑰，同時通知客戶端服務器端的握手過程結束。
　?、?SSL 的握手部分結束，SSL 安全通道的數據通訊開始，客戶和服務器開始使用相同的對稱密鑰進行數據通訊，同時進行通訊完整性的檢驗。

我簡單理解為：

  a. 服務器有服務器證書 和 服務器key， 客戶端有CA（可對所有合法證書進行校驗），客戶端證書、客戶端key可有可無；
  b. 握手時候，客戶端 用CA對服務器證書進行校驗；
  c. 校驗成功后，客戶生成一個對稱密鑰，然后用服務器證書加密成 密文 發給服務器；
 d. 服務器 用服務器key 解密 客戶端發來的密文，獲得  對稱密鑰， 然后他們兩就用這個 對稱密鑰 對 往后的 通話內容進行加解密。

雙向認證

① 瀏覽器發送一個連接請求給安全服務器。
　　② 服務器將自己的證書，以及同證書相關的信息發送給客戶瀏覽器。
　?、?客戶瀏覽器檢查服務器送過來的證書是否是由自己信賴的 CA 中心所簽發的。如果是，就繼續執行協議；如果不是，客戶瀏覽器就給客戶一個警告消息：警告客戶這個證書不是可以信賴的，詢問客戶是否需要繼續。
　?、?接著客戶瀏覽器比較證書里的消息，例如域名和公鑰，與服務器剛剛發送的相關消息是否一致，如果是一致的，客戶瀏覽器認可這個服務器的合法身份。
　　⑤ 服務器要求客戶發送客戶自己的證書。收到后，服務器驗證客戶的證書，如果沒有通過驗證，拒絕連接；如果通過驗證，服務器獲得用戶的公鑰。
　?、?客戶瀏覽器告訴服務器自己所能夠支持的通訊對稱密碼方案。
　?、?服務器從客戶發送過來的密碼方案中，選擇一種加密程度最高的密碼方案，用客戶的公鑰加過密后通知瀏覽器。
　?、?瀏覽器針對這個密碼方案，選擇一個通話密鑰，接著用服務器的公鑰加過密后發送給服務器。
　?、?服務器接收到瀏覽器送過來的消息，用自己的私鑰解密，獲得通話密鑰。
　?、?服務器、瀏覽器接下來的通訊都是用對稱密碼方案，對稱密鑰是加過密的。

我簡單理解為：

  a. 服務器有服務器證書 和 服務器key, CA（可對所有合法證書進行校驗）， 客戶端有CA，客戶端證書、客戶端key；
  b. 握手時候，客戶端 用CA對服務器證書進行校驗, 然后服務器用同樣的方法對客戶端證書進行校驗；
  c. 校驗成功后，客戶端向服務器發出自己支持的密碼方案，用服務器公鑰加密發給服務器，而服務器選一個牛逼的方案 用客戶端公鑰 加密發給客戶端， 客戶端 根據方案 搞個對稱密鑰，用 服務器證書 加密 發給服務器；
 d. 服務器 用服務器key 解密 客戶端發來的密文，獲得  對稱密鑰， 然后他們兩就用這個 對稱密鑰 對 往后的 通話內容進行加解密。