我想了解什么是SSL和Kerberos认证，为什么有时候我都SSL流量和Kerberos之间的实际差异。 或者根本的Kerberos以任何方式使用SSL？

任何人都可以帮助吗？ 谢谢！

SSL使用公钥加密：

1. 您（或您的浏览器）有一个公钥/私钥对
2. 该服务器有一个公钥/私钥以及
3. 您生成一个对称会话密钥
4. 你加密与服务器的公钥和发送该加密的会话密钥到服务器。
5. 该服务器解密用私钥加密的会话密钥。
6. 你和服务器开始使用对称会话密钥进行通信（主要是因为对称密钥是更快）。

Kerberos不使用公共密钥加密。 它使用受信任的第三方。 这里有一个素描：

1. 你俩（服务器和客户端）证明你的身份到受信任的第三方（通过一个秘密 ）。
2. 当你想使用的服务器，你检查，看看该服务器是值得信赖的。 同时，服务器会检查你是值得信赖的。 现在，相互确认对方的身份。 您可以与服务器通信。 2

尽管Kerberos的和SSL是两个协议，Kerberos是认证协议，但SSL是一种加密协议。 Kerberos使用UDP ，SSL使用（大部分时间）， TCP 。 SSL认证通常是通过检查服务器和客户端的实现RSA或ECDSA密钥嵌入在一些所谓的X.509证书 。 你被你的证书和相应的密钥认证。 使用Kerberos，您可以通过您的密码，或其他方式进行身份验证。 Windows使用的Kerberos例如，在域时。

相关说明：SSL的最新版本称为TLS传输层安全性。

为了简单地说，Kerberos是建立相互的身份信任，或认证，为客户端和服务器，通过可信第三方的协议，而SSL确保服务器的认证独自一人，且仅当其公钥已经建立经由另一信道作为可信赖的。 双方提供了服务器和客户端之间的安全通信。

更正式的（但不进入数学证明），给定一个客户端C，服务器S，和第三方t内 C和信任 ：

Kerbeos认证后，它被证实：

• ç认为S是谁打算联系
• 小号认为C是它声称自己是谁
• ç认为它具有与S安全连接
• ç认为那个S认为它具有到C的安全连接
• 小号认为它具有到C的安全连接
• 小号认为是c认为它与S的安全连接

SSL，而另一方面，仅规定：

• ç认为S是谁打算联系
• ç认为它有与S安全连接
• 小号认为它有到C的安全连接

显然，Kerberos的建立一个更强大，更全面的信任关系。

此外，要建立S的基于SSL的身份，C大概需要事先了解或外部的方式来证实这种信任。 对于大部分人的日常使用中，该进来的根证书的形式，和S的证书，在未来的交叉引用的缓存。

如果没有这个先验知识，SSL是容易受到中间人攻击，其中第三方能够通过中继他们使用2个独立的安全通道C和S之间的通信假装为S到C。 要危及Kerberos身份验证，窃听者必须为T伪装既S和C。 但是请注意，这组信任的依然是完整的根据的Kerberos的目标，为最终状态仍然是正确的根据的前提“C和S信任T”。

最后，因为它已经在评论已经指出的那样，Kerberos可以理解并一直延续到使用SSL样的机制建立C和T之间的初始安全连接。

简而言之：

Kerberos的通常不加密传输数据，但SSL和TLS做。

“有用于访问这些消息没有标准的API。由于Windows Vista中，微软并没有提供一种机制，为用户的应用产生KRB_PRIV或KRB_SAFE的消息。” -从http://www.kerberos.org/software/appskerberos.pdf

在对面，SSL和TLS通常不发送和证明此致Windows域登录名到服务器，但确实的Kerberos。

一个简短的回答：SSL和Kerberos都使用加密，但SSL使用密钥在会话期间是不变的，而Kerberos使用多个密钥用于加密客户端和客户端之间的通讯。

某种中间 - - 在客户机和服务器之间在SSL中，而在Kerberos，则加密密钥被由第三方提供的加密由通讯的两端直接处理。

从http://web.mit.edu/kerberos/ ：Kerberos是由MIT作为解决这些网络安全问题。 Kerberos协议使用强加密，因此客户端可以证明其通过不安全的网络连接身份到服务器（并且反之亦然）。 在客户端和服务器已经使用了Kerberos来证明自己的身份之后，他们还可以加密全部的通讯以保证隐私和数据的完整性，因为他们去了解他们的业务。

同时：SSL用于建立服务器 - 通过公共密钥加密服务器认证<>。

从https://www.eldos.com/security/articles/7240.php?page=all ，

Kerberos和TLS不是比较的东西。 他们有不同的目标和不同的方法。 在我们的文章的开头我们提到的像“哪个更好”和“选什么”的常见问题。 前者是不是一个问题都：什么是更好的，如果你在一个正确的方式使用它一切都很好。 后者的问题是值得认真考虑：怎样取舍就看你有什么，你想要什么。

如果你想保护在一定意义上，没有人可以阅读或篡改它的通讯，也许是正确的选择是使用TLS或基于它的一些其他协议。 TLS使用的用于保护通过HTTP进行万维网交通一个很好的例子是使用HTTPS。 对于安全的文件传输，你可以使用FTPS，并考虑到SMTP（虽然它代表一个“简单”的邮件传输协议，而不是“安全”）也可以使用TLS保护。

在另一方面，如果你需要管理用户对服务的访问，您可能需要使用Kerberos。 想象一下，例如，你有几台服务器如Web服务器，FTP，SMTP和SQL服务器，以及其他可选的东西，一切都在一台主机上。 有些客户被允许使用SMTP和HTTP，但不允许使用FTP，其他人可以使用FTP，但没有访问您的数据库。 这也正是Kerberos的即将使用时的情况，你只需要描述的用户权限和身份验证服务器的管理策略。