11.2.2　验证证书

如果服务器端回复客户端时带有其他信息，则进入数字证书验证阶段，如图11-7和图11-8所示。

服务器端下发服务器证书给客户端后，由客户端验证该证书，主要包含以下几个步骤：

1）服务器回复客户端响应时带有服务器证书。

2）客户端将该证书发送至认证机构。

3）认证机构鉴别该证书。

4）认证机构回应客户端验证结果，如果验证失败将同时得到警告信息。

这时，服务器端身份得以认证，客户端和服务器端可以进行以服务器端单向认证为基础的加密交互。如果服务器端对于客户端身份有要求，下发服务器证书的同时要求客户端提供证书，如图11-8所示。

图　11-7　客户端验证服务器证书

图　11-8　服务器端验证客户证书

服务器端要求客户端提供客户证书，将构建基于客户端和服务器端两方的双向认证基础。服务器端验证客户证书，主要包含以下几个步骤：

1）服务器端请求客户证书。

2）客户端发送客户证书。

3）服务器将客户证书发送至认证机构验证。

4）认证机构验证证书。

5）认证机构返回验证结果。

通常，客户证书认证不一定必需。如果客户端和服务器端两方都可以确认，就可进行以双向认证为基础的加密交互。双向认证是电子商务确保安全的必要环节。