应用交付学习笔记四-SSL卸载

    在进行SSL卸载时，web浏览器（客户端）与web服务器之间需要进行握手，因为在web浏览器和web服务器没有互通信息以前，不能确定怎样去解密对方的加密流量，所以需要通过握手来确定对方的加密方式以及密钥。

    SSL卸载在客户端与服务器端需要进行身份认证，以确定对方的身份是否合法。身份认证分为单向身份认证和双向身份认证，单向认证是指客户端认证服务器端是否合法，双向认证是指服务器与客户端互相认证以确定对方是否合法。

单向认证

     单向认证的主要内容有：确认服务器证书是否在有效时间内；服务器内的域名是否与客户端访问的域名一致；服务器内证书是否由浏览器认可的证书机构颁发。

双向认证

     双向认证的主要内容有：确认对方证书在有效时间内；服务器内的域名是否与客户端访问的域名一致；客户端选择自己认可的证书，由服务器确认自己是否拥有该证书认证机构颁发的证书。

证书认证架构（引用资料）

    在对 CFCA Client 证书进行验证的时候，SSL 加速设备需要进行多级认证。其验证流程如下： 
1、验证 Client Certificate 是否由 OCA 认可

2、验证 OCA 是否由 RCA 认可

3、验证 RCA 是否是自签发证书并存放在 BIG-IP LTM 的可信任证书列表（Trusted Authorities）中。