高手请进行！双SSL 证书验证的原理是什么？

ikmb

在SSL中，SSL 服务器证书提供加密和安全功能。 客户端证书提供用户身份验证功能。服务端证书就不说了。如果用客户端证书取代

用户名密码进行登录，那么客户端证书就是唯一的，唯一地标识了一个客户端用户。那么，客户端证书用它的什么信息来进行唯一标

识，我的系统程序又如果来判断这个唯一的客户端证书呢？又怎么保证客户端证书的合法性呢？
请有经验的兄弟赐教！有没有相关验证的程序代码。

补充：证书的颁发者等信息能不能伪造？如果不能伪造是不是可以判断颁发者，再判断使用者？（我个人觉得颁发者不可以伪造的，

比如自己的windows证书服务器颁发一个特定颁发者）

欢迎讨论！

starxing

验证算法有很多种吧，

ikmb

原帖由 starxing 于 2009-2-9 11:30 发表
验证算法有很多种吧，

仁兄可否再讲解一下

yuanchengjun

1，证书唯一标识
证书颁发者DN + 证书序列号

2，证书验证
证书只是标识了一个用户，至于是否合法，看应用。

3，证书含有CA的数字签名
任何人都可以伪造，但是伪造的证书数字签名验证会失败，

4，信任锚
颁发者也可以伪造，
颁发者导入时，管理员当看清楚指纹或公钥。