每个人都可以使用一些证书生成工具为他们的HTTPS站点生成证书（如JDK的keytool），这称为“自签名证书”，但互联网无法识别自生成的证书，因此浏览器将报告安全提示，并要求您手动安装证书。只有通过权威CA组织支付获得的证书才能被互联网识别（有点类似于根域服务器的权威组织）。

1、前提是有两个或多个证书，一个是服务器证书，另一个或多个是客户端证书；

2、服务器持有客户机的证书并信任它，而客户机持有服务器的证书并信任它。这样，如果证书验证成功，则可以完成请求响应；

3、双向身份验证通常是与企业应用程序连接；

ssl还分为两种身份验证方法：ssl双向认证和单向认证。方向认证的方式是客户端需要验证对服务器的访问，然后服务器也需要验证对客户端的访问。ssl双向认证意味着双方需要通过验证，以确保数据信息的安全确认。ssl单向身份验证意味着客户端需要验证服务器，服务器负责且不需要验证客户端的访问。事实上，对于家庭用户来说，单向认证就足够了，不需要ssl双向认证。

但是对于一些大公司来说，公司的数据信息比较大和复杂，需要使用双向认证。这是保护公司内部数据信息的最佳方式。双向身份验证也比单向身份验证更有效。