1.client向server发送https请求(一个加密的请求),包含 client_random
2.server向client返回数字签名(权威CA签发,证明该请求确实是client想要请求的server返回的)和 server_random
3.client使用CA的公钥验证数字签名(知道该请求确实是client想要请求的server返回的),并从数字签名获得server的公钥,并用该公钥加密 premaster secret发送给server
4.server用私钥解密出premaster secret
5.client和server分别使用client_random、server_random 、premaster secret生成 master secret 用于对称加密后续内容
ps:CA对server的信息(比如域名、公钥)进行hash运算,对运算结果使用CA的私钥进行加密,CA是可信的