从工作原理理解ssl证书深度知识点，可能很多人上网都没有注意ssl证书，毕竟现在大多数的网站都是获得ssl认证的，我们也不需要太担心网络会出现很多的不良状况，而且现在的监管也是比较严格的。

ssl证书

通配符SSL又叫泛域名证书，英文名称为：WildcardCertificates。可以保护一个域名以及该域名所有的二级或者三级子域名，不限制子域名数量，且添加新的子域名无须重新审核和另外付费，节约了大量的时间和金钱成本。例如，一个单独的通配符证书就可以保护www.bitcert.com、blog.bitcert.com和store.bitcert.com。通配符证书可以保护通用域名和您在提交申请时指定的级别下的所有子域。只需在通用域名左侧的子域区域添加星号(*)即可。

通配符SSL证书（也称为泛域名证书或WildcardSSL证书）能够实现一张证书保护同一域名下的所有子域名验证的SSL证书类型，适合拥有多个子域名的网站使用。通配符型数字证书在网站部署架构比较复杂的企业中有着广泛的一样，管理和续费等都比普通的证书方便很多。

通配符证书有两种验证等级：DVSSL证书（域名验证）和OVSSL证书（组织验证）。适合拥有大量的二级域名/子域用户申请安装。
SSL工作原理
SSL是一个安全协议，它提供使用TCP/IP的通信应用程序间的隐私与完整性。因特网的超文本传输协议（HTTP）使用SSL来实现安全的通信。

在客户端与服务器间传输的数据是通过使用对称算法（如DES或RC4）进行加密的。公用密钥算法（通常为RSA）是用来获得加密密钥交换和数字签名的，此算法使用服务器的SSL数字证书中的公用密钥。有了服务器的SSL数字证书，客户端也可以验证服务器的身份。SSL协议的版本1和2只提供服务器认证。版本3添加了客户端认证，此认证同时需要客户端和服务器的数字证书。

ssl证书深度知识点
SSL连接总是由客户端启动的，在SSL会话开始时执行SSL握手，此握手产生会话的密码参数，关于如何处理SSL握手，下面我们就简单概述一下，此示例假设已在Web浏览器和Web服务器间建立了SSL连接。
(1)客户端发送列出客户端密码能力的客户端“您好”消息（以客户端首选项顺序排序），如SSL的版本、客户端支持的密码对(加密套件)和客户端支持的数据压缩方法(哈希函数)。消息也包含28字节的随机数。
(2)服务器以服务器“您好”消息响应，此消息包含密码方法（密码对）和由服务器选择的数据压缩方法，以及会话标识和另一个随机数。
我们提醒大家：客户端和服务器至少必须支持一个公共密码对，否则握手失败。服务器一般选择最大的公共密码对。
(3)服务器发送其SSL数字证书。（服务器使用带有SSL的X.509V3数字证书。）
如果服务器使用SSLV3，而服务器应用程序（如Web服务器）需要数字证书进行客户端认证，则客户端会发出“数字证书请求”消息。在“数字证书请求”消息中，服务器发出支持的客户端数字证书类型的列表和可接受的CA的名称。
(4)服务器发出服务器“您好完成”消息并等待客户端响应。
(5)一接到服务器“您好完成”消息，客户端（Web浏览器）将验证服务器的SSL数字证书的有效性并检查服务器的“你好”消息参数是否可以接受。
如果服务器请求客户端数字证书，客户端将发送其数字证书；或者，如果没有合适的数字证书是可用的，客户端将发送“没有数字证书”警告。此警告仅仅是警告而已，但如果客户端数字证书认证是强制性的话，服务器应用程序将会使会话失败。

(6)客户端发送“客户端密钥交换”消息。此消息包含pre-mastersecret（一个用在对称加密密钥生成中的46字节的随机数字），和消息认证代码（MAC）密钥（用服务器的公用密钥加密的）。

如果客户端发送客户端数字证书给服务器，客户端将发出签有客户端的专用密钥的“数字证书验证”消息。通过验证此消息的签名，服务器可以显示验证客户端数字证书的所有权。

注意：如果服务器没有属于数字证书的专用密钥，它将无法解密pre-master密码，也无法创建对称加密算法的正确密钥，且握手将失败。
(7)客户端使用一系列加密运算将pre-mastersecret转化为mastersecret，其中将派生出所有用于加密和消息认证的密钥。然后，客户端发出“更改密码规范”消息将服务器转换为新协商的密码对。客户端发出的下一个消息（“未完成”的消息）为用此密码方法和密钥加密的第一条消息。
(8)服务器以自己的“更改密码规范”和“已完成”消息响应。

(9)SSL握手结束，且可以发送加密的应用程序数据。

ssl证书深度知识点可能很多人都不知道，毕竟着网络技术很复杂的，同时我们使用网络一般都是已经配置好了，也不需要担心各种情况的出现，而且网站管理方也会帮助用户处理好这方面的问题。

---