SSL(Server Socket Layer)简介
在网络上信息在源-宿的传递过程中会经过其它的计算机。一般情况下，中间的计算机不会监听路过的信息。但在使用网上银行或者进行信用卡交易的时候有可能被监视，从而导致个人隐私的泄露。由于Internet和Intranet体系结构的原因，总有某些人能够读取并替换用户发出的信息。随着网上支付的不断发展，人们对信息安全的要求越来越高。因此Netscape公司提出了SSL协议，旨在达到在开放网络(Internet)上安全保密地传输信息的目的，这种协议在WEB上获得了广泛的应用。之后IETF(www.ietf.org)对SSL作了标准化，即RFC2246，并将其称为TLS（Transport Layer Security），从技术上讲，TLS1.0与SSL3.0的差别非常微小。

SSL工作原理
SSL协议使用不对称加密技术实现会话双方之间信息的安全传递。可以实现信息传递的保密性、完整性，并且会话双方能鉴别对方身份。不同于常用的http协议，我们在与网站建立SSL安全连接时使用https协议，即采用https://ip:port/的方式来访问。

当我们与一个网站建立https连接时，我们的浏览器与Web Server之间要经过一个握手的过程来完成身份鉴定与密钥交换，从而建立安全连接。具体过程如下：

1. 用户浏览器将其SSL版本号、加密设置参数、与session有关的数据以及其它一些必要信息发送到服务器。
2. 服务器将其SSL版本号、加密设置参数、与session有关的数据以及其它一些必要信息发送给浏览器，同时发给浏览器的还有服务器的证书。如果配置服务器的SSL需要验证用户身份，还要发出请求要求浏览器提供用户证书。
3. 客户端检查服务器证书，如果检查失败，提示不能建立SSL连接。如果成功，那么继续。
4. 客户端浏览器为本次会话生成pre-master secret，并将其用服务器公钥加密后发送给服务器。
5. 如果服务器要求鉴别客户身份，客户端还要再对另外一些数据签名后并将其与客户端证书一起发送给服务器。
6. 如果服务器要求鉴别客户身份，则检查签署客户证书的CA是否可信。如果不在信任列表中，结束本次会话。如果检查通过，服务器用自己的私钥解密收到的pre-master secret，并用它通过某些算法生成本次会话的master secret。
7. 客户端与服务器均使用此master secret生成本次会话的会话密钥(对称密钥)。在双方SSL握手结束后传递任何消息均使用此会话密钥。这样做的主要原因是对称加密比非对称加密的运算量低一个数量级以上，能够显著提高双方会话时的运算速度。
8. 客户端通知服务器此后发送的消息都使用这个会话密钥进行加密。并通知服务器客户端已经完成本次SSL握手。
9. 服务器通知客户端此后发送的消息都使用这个会话密钥进行加密。并通知客户端服务器已经完成本次SSL握手。
10. 本次握手过程结束，会话已经建立。双方使用同一个会话密钥分别对发送以及接受的信息进行加、解密。

配置Tomcat 4.x 使用SSL

4.1 用到的软件包

• Tomcat 4.0.2

  用途：Web Server。
  下载： http://jakarta.apache.org/builds/jakarta-tomcat-4.0/release/v4.0.3/bin/

• JSSE 1.0,2

  用途：用来产生Tocmcat使用的秘钥对(keystore)。
  下载： http://java.sun.com/products/jsse/

• Openssl 0.9.9.6

  用途：用来产生CA证书、签名并生成IE可导入的PKCS#12格式私钥。
  下载： http://www.openssl.org/

以上工具的安装过程可以参考自带的帮助，本文就不再详细描述了。

4.2 建立自己的CA

4.2.1 建立工作目录
mkdir ca

4.2.2 生成CA私钥以及自签名根证书
4.2.2.1 生成CA私钥
openssl genrsa -out ca\ca-key.pem 1024

4.2.2.2 生成待签名证书
openssl req -new -out ca\ca-req.csr -key ca\ca-key.pem

4.2.2.3 用CA私钥进行自签名
openssl x509 -req -in ca\ca-req.csr -out ca\ca-cert.pem -signkey ca\ca-key.pem -days 365

4.3 设置Tomcat 4.x

在本文中用符号"%JDK_HOME%"来表示JDK的安装位置，用符号"%TCAT_HOME%" 表示Tomcat的安装位置。

4.3.1建立工作目录
mkdir server

4.3.2 生成server端证书
4.3.2.1 生成KeyPair
%JDK_HOME%\bin\keytool -genkey -alias tomcat_server -validity 365 -keyalg RSA -keysize 1024 -keypass changeit -storepass changeit -dname "cn=localhost, ou=department, o=company, l=Beijing, st=Beijing, c=CN" -keystore server\server_keystore

4.3.2.2 生成待签名证书
%JDK_HOME%\bin\keytool -certreq -alias tomcat_server -sigalg MD5withRSA -file server\server.csr -keypass changeit -keystore server\server_keystore -storepass changeit

4.3.2.3 用CA私钥进行签名
openssl x509 -req -in server\server.csr -out server\server-cert.pem -CA ca\ca-cert.pem -CAkey ca\ca-key.pem -days 365

4.3.2.4 导入信任的CA根证书到JSSE的默认位置(%JDK_ROOT %/jre/security/cacerts)
%JDK_HOME%\bin\keytool -import -v -trustcacerts -storepass changeit -alias my_ca_root -file ca\ca-cert.pem -keystore %JDK_HOME%\jre\lib\security\cacerts

4.3.2.5 把CA签名后的server端证书导入keystore
%JDK_HOME%\bin\keytool -import -v -trustcacerts -storepass changeit -alias tomcat_server -file server\server-cert.pem -keystore server\server_keystore

4.3.2.6 查看server端证书
keytool -list -keystore %JDK_HOME%\jre\lib\security\cacerts keytool -list -keystore server\server_keystore

4.3.3 修改server.xml使Tomcat支持SSL
首先找到以下内容，去掉对其的注释。然后参照红色部分修改。如果配置Tomcat不验证客户身份，可以设置clientAuth="false"。

												<Connector className="org.apache.catalina.connector.http.HttpConnector"
           port="8443" minProcessors="5" maxProcessors="75"
           enableLookups="true"
           acceptCount="10" debug="0" scheme="https" secure="true">
<Factory className="org.apache.catalina.net.SSLServerSocketFactory"
           clientAuth="true" protocol="TLS"
keystoreFile="%TCAT_HOME%/conf/server_keystore" keystorePass="changeit"
           />

										

4.4 在IE中安装个人证书
4.4.1 建立工作目录
mkdir client

4.4.2 生成client私钥并用CA私钥签名

4.4.2.1 生成client私钥
openssl genrsa -out client\client-key.pem 1024

4.4.2.2 生成待签名证书
openssl req -new -out client\client-req.csr -key client\client-key.pem

4.4.2.3 用CA私钥进行签名
openssl x509 -req -in client\client-req.csr -out client\client.crt -signkey client\client-key.pem -CA ca\ca-cert.pem -CAkey ca\ca-key.pem -CAcreateserial -days 365

4.4.2.4 生成client端的个人证书
因为JSSE1.0.2没有完全实现了对PKCS#12格式文件的操作(只能读取，不能输出)，所以在这里需要用openssl制作client端的个人证书(包含私钥)。
openssl pkcs12 -export -clcerts -in client\client.crt -inkey client\client-key.pem -out client\client.p12

4.4.2.5 安装信任的根证书
把ca\ca-key.pem改名为ca\ca-key.cer，在client端的IE中使用"工具 ' Internet选项 ' 内容 ' 证书 ' 导入"把我们生成的CA根证书导入，使其成为用户信任的CA。

4.4.3 安装个人证书
把client.p12导入到client端的IE中作为个人证书，导入过程同4.4.2.5。

4.5 用IE浏览器使用SSL协议访问Tomcat

4.5.1 启动Tomcat 4.x
执行%TCAT_HOME%\bin\startup.bat启动Tomcat 4.x

4.5.2 用IE访问Tomcat 4.x
在IE浏览器的地址栏中输入https://localhost:8443，如果前面的操作都正确的话，应该可以看到Tomcat的欢迎页面。同时状态栏上的小锁处于闭合状态，表示您已经成功地与服务器建立了要求客户端验证的SSL安全连接。

结论
以上我们实现了为Tomcat 4.x配置要求客户端验证的SSL的全过程。对于其它类型的服务器，例如Apache，Netscape Enterprise Server, Websphere，Weblogic等，一般只是在服务器端保存证书的方式略有不同，但它们的原理都是类似的，配置时可以在本文中办法的基础上做出相应的调整。

参考资料

• Tomcat SSL Configuration HOW-TO
  
  
• SSL3.0规范
  
  
• Description of the Secure Sockets Layer (SSL) Handshake (Q257591)
  
  
• keytool - Key and Certificate Management Tool
  
  
• Openssl使用手册
  

二十四.     指令 speed

用法：
   
    openssl speed [-elapsed] [md2] [mdc2] [md5] [hmac] [sha1] [rmd160]
   
     [idea-cbc] [rc2-cbc] [rc5-cbc] [bf-cbc] [des-cbc] [des-ede3]
   
     [rc4] [rsa512] [rsa1024] [rsa2048] [rsa4096] [dsa512]
   
     [dsa1024] [dsa2048] [idea] [rc2] [des] [rsa] [blowfish]
   
      说明：
    算法在你的机器上的测试工具。
   
    OPTIONS
    -elapsed
    set 了这个 option 将使测试结果是我们比较容易懂的时间格式，否则将是和 time 指令那样子显示的 cpu 时间。
    其他的 option 都是算法了。

二十五.     指令 version

用法：
   
    openssl version [-a] [-v] [-b] [-o] [-f] [-p]
   
   
    说明：
    用来打印版本信息的。最没用的指令和最简单的指令。
   
    OPTIONS
    -a
    打印所有信息， 相当于把其他 option 全 set 起来。
    当你向 openssl 官方站点报 bug 的时候 , 需要把这个指令列出来的东西也告诉他们
    -v
    打印当前 openssl 的版本信息。
    -b
    打印当前版本的 openssl 是什么时候弄出来的
    -o
    建立库的时候的各种于加密算法和机器字节有关的信息。
    -c
    编译时候的编译其的参数
    -p
    平台信息

一.     指令 sess_id

二十二.     指令 s_server

用法：
   
    openssl s_server [-accept port] [-context id] [-verify depth]
   
    [-Verify depth] [-cert filename] [-key keyfile] [-dcert filename]
   
    [-dkey keyfile] [-dhparam filename] [-nbio] [-nbio_test] [-crlf]
   
    [-debug] [-state] [-CApath directory] [-CAfile filename] [-nocert]
   
    [-cipher cipherlist] [-quiet] [-no_tmp_rsa] [-ssl2] [-ssl3] [-tls1]
   
    [-no_ssl2] [-no_ssl3] [-no_tls1] [-no_dhe] [-bugs] [-hack] [-www]
   
    [-WWW] [-engine id]
   
   
   
    说明：
    和 s_client 是反义词， 模拟一个实现了 SSL 的 server.
   
   
    OPTIONS
    -accept port
    监听的 TCP 端口。缺省为 4433.
    -context id
    设置 SSL context 的 id, 可以设置为任何值。 SSL context 是什么？编程的章节会详细介绍的。你也可以不 set 这个 option, 有缺省的给你用的。
    -cert certname
    使用的证书文件名。缺省使用 ./server.pem
    -key keyfile
    使用的私有密钥文件。如果没有指定，那么证书文件会被使用。 ????
    The private key to use. If not specified then the certificate
    file will be used.
    -dcert filename, -dkey keyname
    指定一个附加的证书文件和私有密钥文件。不同的 cipher 需要不同的证书和 私有密钥文件。这个不同的 cipher 主要指 cipher 里面的不对称加密算法不同    比如基于 RSA 的 cipher 需要的是 RSA 的私有密钥文件和证 书 , 而基于 DSA 的算法    则需要的是 DSA 的私有密钥文件和证书 . 这个 option 可以让这样我们的 server 同时支持俩种算法的 cipher 成为可 能。
    -nocert
    如果 server 不想使用任何证书， set 这个 option.
    目前只有 anonymous DH 算法有需要这么做。
    -dhparam filename
    使用的 DH 参数文件名。如果没有 set, 那么 server 会试图去从证书文件里面获得这些参数。如果证书里面没有这么参数，一些 hard code 的参数就被调用。
    -nodhe
    禁止使用基于 EDH 的 cipher.
    -no_tmp_rsa
    现在的出口 cipher 有时会使用临时 RSA 密钥。那就是说每次对话的时候临时生成密钥对。本 optio 就是用来禁止这种情况的。
    -verify depth, -Verify depth
    意义和 s_client 的这个 option 一样，但同时表示必须验证 client 的证书。不记得 server 对 client 的证书验证是可以选的吗？ - verify 表示向 client 要求证书，但 client 还是可以选择不发送证书， -Verify 表示一定要 client 的证书验证，否则握手告吹。
    -CApath directory
    -CAfile file
    -state
    -debug
    -nbio_test
    -nbio
    -crlf
    -quiet
    -ssl2, -ssl3, -tls1, -no_ssl2, -no_ssl3, -no_tls1
    -bugs
    -cipher cipherlist
    这些 option 于 s_client 的同名 option 意义相同。
    下面俩个指令模拟一个简单的 http server.
    -www
    当 client 连接上来的时候，发回一个网页，内容就是 SSL 握手的一些内容。
    -WWW
    用来把具体某个文件当网页发回给 client 的请求。比如 client 的 URL 请求是 https://myhost/page.html , 就把 ./page.html 发回给 client. 如果没有 set -www, -WWW 这俩个 option, 当一个 ssl client 连接上来的话它所发过来的任何东西都会显示出来，你在终端输入的任何东西都会发回 给 client. 你可以通过在终端输入的行的第一个字母控制一些行为
    q:
    中断当前连接，但不关闭 server.
    Q
    中断当前连接，退出程序。
    r
    进行 renegotiate 行为。
    R
    进行 renegotiate 行为 , 并且要求 client 的证书 。
    P
    在 TCP 层直接送一些明文。这会使 client 认为我们没有按协议的游戏规则进行通信而断开连接。
    S
    打印出 session-cache 的状态信息。 session-cache 在编程章节会详细介绍。
    NOTES
    用于调试 ssl client.
    下一条指令用来模拟一个小的 http server, 监听 443 端口。
    openssl s_server -accept 443 -www
    session 的参数可以用 sess_id 指令打印。
    我对这条指令实在没有兴趣，一般使用 openssl 都是用做 server, 没有机会调试 client. 我甚至没有用过这个指令。

二十一.     指令 s_client

用法：
   
    openssl s_client [-connect host:port>;] [-verify depth] [-cert filename]
   
    [-key filename] [-CApath directory] [-CAfile filename] [-reconnect]
   
    [-pause] [-showcerts] [-debug] [-nbio_test] [-state] [-nbio] [-crlf]
   
    [-ign_eof] [-quiet] [-ssl2] [-ssl3] [-tls1] [-no_ssl2] [-no_ssl3]
   
    [-no_tls1] [-bugs] [-cipher cipherlist]
   
    描述：
    用于模拟一个普通的 SSL/TLS client, 对于调试和诊断 SSL server 很有用。
   
    OPTIONS
    -connect host:port
    这个不用解释了吧， 连接的 ip:port.
    -cert certname
    使用的证书文件。如果 server 不要求要证书，这个可以省略。
    -key keyfile
    使用的私有密钥文件
    -verify depth
    指定验证深度。记得 CA 也是分层次的吧？如果对方的证书的签名 CA 不是 Root CA, 那么你可以再去验证给该 CA 的证书签名的 CA ， 一直到 Root CA. 目前的验证操作即使这条 CA 链上的某一个证书验证有问题也不会影响对更深层的 CA 的身份的验证。所以整个 CA 链上的问题都可以检查出来。当然 CA 的验证出 问题并不会直接造成连接马上断开，好的应用程序可以让你根据验证结果决定下一步怎么走。
    -CApath directory
    一个目录。里面全是 CA 的验证资料，该目录必须是 " 哈希结构 ". verify 指令里会详细说明。在建立 client 的证书链的时候也有用到这个指令。
    -CAfile file
    某文件，里面是所有你信任的 CA 的证书的内容。当你要建立 client 的证书链的时候也需要用到这个文件。
    -reconnect
    使用同样的 session-id 连接同一个 server 五次，用来测试 server 的 session 缓冲功能是否有问题。
    -pause
    每次读写操作后都挺顿一秒。
    -showcerts
    显示整条 server 的证书的 CA 的证书链。否则只显示 server 的证书。
    -prexit
    当程序退出的时候打印 session 的信息。即使连接失败，也会打印出调试信息。一般如果连接成功的话，调试信息将只被打出来一次。本 option 比较有 用，因为在一次 SSL 连接中， cipher 也可能改变，或者连接可能失败。要注意的是：有时候打印出来的东西并不一定准确。 ( 这样也行？？ eric, 言重了 .)
    -state
    打印 SSL session 的状态， ssl 也是一个协议，当然有状态。
    -debug
    打印所有的调试信息。
    -nbio_test
    检查非阻塞 socket 的 I/O 运行情况。
    -nbio
    使用非阻塞 socket
    -crlf
    回把你在终端输入的换行回车转化成 /r/n 送出去。
    -ign_eof
    当输入文件到达文件尾的时候并不断开连接。
   -quiet
    不打印出 session 和证书的信息。同时会打开 -ign_eof 这个 option.
   -ssl2, -ssl3, -tls1, -no_ssl2, -no_ssl3, -no_tls1
    选择用什么版本的协议。很容易理解，不用多解释了吧。
    注意，有些很古老的 server 就是不能处理 TLS1, 所以这个时候要关掉 TLS1.n.
   -bugs
   SSL/TLS 有几处众所周知的 bug, set 了这个 option 使出错的可能性缩小。
   -cipher cipherlist
    由我们自己来决定选用什么 cipher ，尽管是由 server 来决定使用什么 cipher, 但它一般都会采用我们送过去的 cipher 列表里的第一个 cipher.
    有哪些 cipher 可用？指令 cipher 对这个解释的更清楚。
    一旦和某个 SSL server 建立连接之后，所有从 server 得到的数据都会被打印出来，所有你在终端上输入的东西也会被送给 server. 这是人机交互式的。这时候不能 set -quiet 和 -ign_eof 这俩个 option 。如果输入的某行开头字母是 R, 那么在这里 session 会 renegociate, 如果输入的某行开头是 Q, 那么连接会被断开。你完成整个输入之后连接也会被断开。
    If a connection is established with an SSL server then any data received from the server is displayed and any key presses will be sent to the server. When used interactively (which means neither -quiet nor -ign_eof have been given), the session will be renegociated if the line begins with an R, and if the line begins with a Q or if end of file is reached, the connection will be closed down.
    本指令主要是来 debug 一个 SSL server 的。如果想连接某个 SSL HTTP server, 输入下一条指令：
   openssl s_client -connect servername:443
    如果连接成功，你可以用 HTTP 的指令，比如 "GET /" 什么的去获得网页了。
    如果握手失败，原因可能有以下几种：
    1. server 需要验证你的证书，但你没有证书
    2. 如果肯定不是原因 1, 那么就慢慢一个一个 set 以下几个 option
    -bugs, -ssl2, -ssl3, -tls1, -no_ssl2, -no_ssl3, -no_tls1
    这可能是因为对方的 server 处理 SSL 有 bug.
    有的时候， client 会报错：没有证书可以使用，或者供选择的证书列表是空的。这一般是因为 Server 没有把给你签名的 CA 的名字列进它自己认为可以 信任的 CA 列表 , 你可以用检查一下 server 的信任 CA 列表。有的 http server 只在 client 给出了一个 URL 之后才验证 client 的证书，这中情况下要 set -prexit 这个 option, 并且送给 server 一个页面请求。
    即使使用 -cert 指明使用的证书，如果 server 不要求验证 client 的证书，那么该证书也不会被验证。所以不要以为在命令行里加了 -cert 的参数又连接成功就代表你的证书没有问题。
    如果验证 server 的证书没有问题，就可以 set -showcerts 来看看 server 的证书的 CA 链了。
    其实这个工具并不好用， 自己写一个 client 的会方便很多。
    举例时间：
    注意，中间的 pop3 协议的指令是我通过终端输入的。其他都是程序输出的对话
    过程。具体的每行意义不用解释了。


openssl s_client -key server.key -verify 1 -showcerts -prexit -state \
    -crlf -connect 127.0.0.1:5995
    verify depth is 1
    CONNECTED(00000003)
    SSL_connect:before/connect initialization
    SSL_connect:SSLv2/v3 write client hello A
    SSL_connect:SSLv3 read server hello A
    depth=0 /C=AU/ST=Some-State/L=gz/O=ai ltd/OU=sw/CN=fordesign/
    Email=xxx@xxx.xom
    verify error:num=20:unable to get local issuer certificate
    verify return:1
    depth=0 /C=AU/ST=Some-State/L=gz/O=ai ltd/OU=sw/CN=fordesign/
    Email=xxx@xxx.xom
    verify error:num=27:certificate not trusted
    verify return:1
    depth=0 /C=AU/ST=Some-State/L=gz/O=ai ltd/OU=sw/CN=fordesign/
    Email=xxx@xxx.xom
    verify error:num=21:unable to verify the first certificate
    verify return:1
    SSL_connect:SSLv3 read server certificate A
    SSL_connect:SSLv3 read server done A
    SSL_connect:SSLv3 write client key exchange A
    SSL_connect:SSLv3 write change cipher spec A
    SSL_connect:SSLv3 write finished A
    SSL_connect:SSLv3 flush data
    SSL_connect:SSLv3 read finished A
    Certificate chain
    0 s:/C=AU/ST=Some-State/L=gz/O=ai ltd/OU=sw/CN=fordesign/Email=xxx@xxx.xom
    i:/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd/CN=fordesign/
    Email=fordeisgn@21cn.com
    ----BEGIN CERTIFICATE-----
    MIIDdzCCAuCgAwIBAgIBATANBgkqhkiG9w0BAQQFADB8MQswCQYDVQQGEwJBVTET
    MBEGA1UECBMKU29tZS1TdGF0ZTEhMB8GA1UEChMYSW50ZXJuZXQgV2lkZ2l0cyBQ
    dHkgTHRkMRIwEAYDVQQDEwlmb3JkZXNpZ24xITAfBgkqhkiG9w0BCQEWEmZvcmRl
    aXNnbkAyMWNuLmNvbTAeFw0wMDExMTIwNjE5MDNaFw0wMTExMTIwNjE5MDNaMH0x
    CzAJBgNVBAYTAkFVMRMwEQYDVQQIEwpTb21lLVN0YXRlMQswCQYDVQQHEwJnejEP
    MA0GA1UEChMGYWkgbHRkMQswCQYDVQQLEwJzdzESMBAGA1UEAxMJZm9yZGVzaWdu
    MRowGAYJKoZIhvcNAQkBFgt4eHhAeHh4LnhvbTCBnzANBgkqhkiG9w0BAQEFAAOB
    jQAwgYkCgYEAuQVRVaCyF+a8/927cA9CjlrSEGOL17+Fk1U6rqZ8fJ6UR+kvhUUk
    fgyMmzrw4bhnZlk2NV5afZEhiiNdRri9f8loklGRXRkDfmhyUWtjiFWUDtzkuQoT
    6jhWfoqGNCKh/92cjq2wicJpp40wZGlfwTwSnmjN9/eNVwEoXigSy5ECAwEAAaOC
    AQYwggECMAkGA1UdEwQCMAAwLAYJYIZIAYb4QgENBB8WHU9wZW5TU0wgR2VuZXJh
    dGVkIENlcnRpZmljYXRlMB0GA1UdDgQWBBS+WovE66PrvCAtojYMV5pEUYZtjzCB
    pwYDVR0jBIGfMIGcgBRpQYdVvVKZ0PXsEX8KAVNYTgt896GBgKR+MHwxCzAJBgNV
    BAYTAkFVMRMwEQYDVQQIEwpTb21lLVN0YXRlMSEwHwYDVQQKExhJbnRlcm5ldCBX
    aWRnaXRzIFB0eSBMdGQxEjAQBgNVBAMTCWZvcmRlc2lnbjEhMB8GCSqGSIb3DQEJ
    ARYSZm9yZGVpc2duQDIxY24uY29tggEAMA0GCSqGSIb3DQEBBAUAA4GBADDOp/O/
    o3mBZV4vc3mm2C6CcnB7rRSYEoGm6T6OZsi8mxyF5w1NOK5oI5fJU8xcf8aYFVoi
    0i4LlsiQw+EwpnjUXfUBxp/g4Cazlv57mSS6h1t4a/BPOIwzcZGpo/R3g/fOPwsF
    F/2RC++81s6k78iezFrTs9vnsm/G4vRjngLI
    -----END CERTIFICATE-----
    ---
    Server certificate
    subject=/C=AU/ST=Some-State/L=gz/O=ai ltd/OU=sw/CN=fordesign/
    Email=xxx@xxx.xom
    issuer=/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd/CN=fordesign/
    Email=fordeisgn@21cn.com
    ---
    No client certificate CA names sent
    ---
    SSL handshake has read 1069 bytes and written 342 bytes
    ---
    New, TLSv1/SSLv3, Cipher is DES-CBC3-SHA
    Server public key is 1024 bit
    SSL-Session:
    Protocol : SSLv3
    Cipher : DES-CBC3-SHA
    Session-ID: E1EC3B051F5DB8E2E3D3CD10E4C0412501DDD6641ACA932B65
    DC25DCD0A3A86E
    Session-ID-ctx:
    Master-Key: 47DB3A86375DB2E99982AFD8F5B382B4316385694B01B74BFC3
    FA26C7DBD489CABE0EE1B20CE8E95E4ABF930099084B0
    Key-Arg : None
    Start Time: 974010506
    Timeout : 300 (sec)
    Verify return code: 0 (ok)
    ---
    +OK AIMC POP service (sol7.gzai.com) is ready.
    user ssltest0
    +OK Please enter password for user <ssltest0>;.
    pass ssltest0
    +OK ssltest0 has 12 message (282948 octets)