服務(wù)端通過根CA向客戶端發(fā)送客戶端證書，添加客戶端證書時，與機器相關(guān)的信息可以保證帳戶在特定時間只能在機器上與服務(wù)端交換消息。例如，當(dāng)我們在使用支付寶時下載并安裝數(shù)字證書時，我們可以將此證書命名為“X

服務(wù)端通過根CA向客戶端發(fā)送客戶端證書，添加客戶端證書時，與機器相關(guān)的信息可以保證帳戶在特定時間只能在機器上與服務(wù)端交換消息。例如，當(dāng)我們在使用支付寶時下載并安裝數(shù)字證書時，我們可以將此證書命名為“XXX notebook”或“company”。大腦，或類似的東西，是支付寶頒發(fā)證書給用戶。它只能用在這臺機器上。如果你換了機器，你必須再申請一次。在建立SSL連接時，服務(wù)器首先向客戶端發(fā)送自己的服務(wù)器證書。驗證完成后，客戶端將自己的客戶端證書發(fā)送給服務(wù)器進行驗證。如果通過，則進行后續(xù)處理。

客戶端安裝服務(wù)器根證書約crt對于客戶端信任證書庫，服務(wù)器安裝服務(wù)器根證書約crt到服務(wù)器信任證書庫。

SSL握手時，服務(wù)器首先發(fā)送server certificate server.p12給客戶端，客戶端會去客戶端信任證書庫進行驗證，因為server.p12是根證書Ca頒發(fā)的，所以驗證通過；然后客戶端發(fā)送client certificate client.p12給服務(wù)器，同樣，因為client.p12是由根證書Ca頒發(fā)的，所以驗證通過了。