Https运作流程原理
如下图所示:
-
客户端先发送ClientHello,将Client Random发送给服务器;
-
服务器收到客户端请求并生成Server Random,发送Server Hello和Server Random数据; 服务器发送证书(证书是CA签发的)给客户端,证书包括服务器私钥的签名、服务器公钥、CA用私钥的签名等信息; 服务器使用服务器私钥对DH参数签名,并把签名后的DH参数发给客户端;发送完这些之后,服务器再发送Server Hello Done,结束发送;
-
客户端收到服务器证书,浏览器会通过CA公钥进行证书验签,验签成功后会使用服务器证书中的公钥对服务器DH参数进行验签,服务器DH参数进行验签成功后,客户端生成DH参数,并与服务端DH参数(服务器的ECDHE算法公钥)生成预主密钥,同时把客户端的DH参数(客户端的ECDHE算法公钥)发送给服务器以及把加密后的握手信息发送给服务端;
注:服务端的DH参数和客户端的DH参数使用RSA私钥加签和公钥验签。使用ECDHE(椭圆曲线)算法实现的Diffe_Hellman协议进行密钥交换。 -
服务端接收到客户端的DH参数,先根据客户端DH参数和服务端DH参数(服务器的ECDHE算法中的原根和基点)生成预主密钥,这里就是进行的密钥交换。使用密钥对加密后的握手信息解密,解密成功后向客户端发送改变加密算法和加密后的握手信息,这样以后客户端和服务端就可以使用同一个密钥(这个密钥就是协商出的