1、客户端发送一份数据,数据包括:支持协议版本(例如TLS1.0)、支持的加密算法(如RSA公钥加密)、支持的压缩算法。
2、服务器生成证书(服务器把自己的公钥发送到CA,CA加上自己的私钥签名)。
3、服务器向客户端返回一份数据,数据包括:确认试用的加密通信协议版本(如TLS1.0,如果浏览器支持的版本不一致则关闭连接)、确认使用的加密算法(如RSA公钥加密)、服务器证书(证书中包括服务器的公钥)。
4、浏览器有一个受信的CA列表(包括对应CA的公钥),收到服务器的证书后检查该证书是否在受信的CA列表中,在则通过对应的公钥解密得到网站的公钥,不在则警告用户该网站不安全。
5、客户端产生一个“对称秘钥”(预主密钥,通过一系列的操作以后会变成主秘钥)。将预主密钥通过服务器的公钥后发送到服务器。如果服务器要求用户身份验证,则客户端需要建立一个随机数并且对其进行数据签名,连同自己的证书和加密后的预主密钥一起发送到服务器。
6、如果服务器需要对客户端身份验证,则对其发送的证书和签名后的数据检查是否合法,发现错误则断开连接。通过自己的私钥对预主密钥进行解密,然后通过一系列过程产生主秘钥(跟客户端生成主密钥的过程一样)。
7、客户端发送数据,表明之后使用该主密钥进行通信,同时表示握手结束。
8。服务器发送数据,表明之后使用该主密钥进行通信,同时表示握手结束。
9、开始通信。