有爹知道 https 双向认证时候，服务端使用客户端证书干了什么么？

别客气。

不是很清楚~

@Belmode 哈哈哈，这人太坏了，还配合上这个头像。

为父找到此 link

https://www.cloudflare.com/learning/access-management/what-is-mutual-authentication/

客户端将发送的信息 算哈希。 将哈希用客户端自己的私钥加密。发送给服务端。

服务端用客户的公钥解密，得到哈希。 并那这个哈希和客户端发送来的信息哈希比较，如果一致就说明这个信息时客户端发来的，并且没有被篡改。

服务端会获取客户端证书的信息 诸如 CN 等等。

你可以拿 phpinfo()测试一下，好像是在 SERVER[ ]里面

利用这个特性可以实现证书登陆验证

这篇讲的很详细，可以参考下

http://www.884358.com/https-auth/

没你想那么复杂。

做微信支付的时候，官方 API 要求 SSL 请求必须带客户端证书，好知道你是谁。客户端证书就仅仅是校验用户身份的作用，和你用证书来登录远程 SSH 一样，没啥区别。

内容加密还是走老一套 TLS 。

孩子你可以抓包看交互的过程

"在 server hello 后服务端会选择一个加密方案，双向认证时候，加密套件在客户端验证完服务端证书后发送？？"

不是，是一起发送的。你可以看 6 楼的文章里的 curl 输出，第一行是客户端证书，第二行是加密套件里的 key(也就是双方随机数计算的 pre-master secret)，第三行是用客户端密钥计算的 hash 校验，防中间人篡改，三个包是连续一起发送的。

如果客户端证书没问题，那么服务器直接就 SSL 握手完成了，不会再次请求加密 KEY 。

* TLSv1.2 (OUT), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS handshake, CERT verify (15):

只做验证，服务端自签的 ca 签发客户端证书，用户携带客户端证书访问系统，服务端 Ca 校验客户端证书有效性。

……这个不是有规范文档吗，还是我看的那份是假的？

我理解的, 单向的 https 中, 只有客户端,校验服务端是否是正确的(一般来说,会校验域名和证书是否一致)

在双向认证的 https 中, 不光客户端校验服务端, 服务端也会校验客户端是否靠谱(使用服务端保存的客户端根证书来校验客户端发来的公钥)

就像你确认服务器是你要访问的服务器一样，可以确认访问服务器的是你

可以看看 SSL 的握手：

评论区很和谐有爱

这就是提问的艺术！你看评论区有冷嘲热讽的吗？没有。

@luzemin 确实很聪明，op 有意思