首先服務(wù)器像證書機(jī)構(gòu)進(jìn)行證書申請:
實(shí)際得到的證書是證書機(jī)構(gòu)例如CA通過自己的私鑰际起,將服務(wù)器提交的信息(服務(wù)器公鑰梭灿,域名等)進(jìn)行了簽名耳鸯,最終證書就包含(簽名+服務(wù)器信息)
當(dāng)客戶端發(fā)起HTTPS請求時榨乎,
首先客戶端發(fā)起一次Client Hello:附加支持的TLS版本丁屎,對稱算法,非對稱算法,Hash算法,客戶端本地隨機(jī)數(shù)
服務(wù)器收到后回應(yīng)一次Server Hello,附加為確定選用的TLS版本它褪,對稱算法,非對稱算法桑寨,Hash算法,服務(wù)端本地隨機(jī)數(shù)。
接著服務(wù)器發(fā)起一次證書傳遞通信,將證書+證書機(jī)構(gòu)信息(證書機(jī)構(gòu)公鑰则奥,簽發(fā)機(jī)構(gòu)名稱,位置等信息)交給操作系統(tǒng)根證書進(jìn)行私鑰簽名并發(fā)送
客戶端收到后狭园,首先也是通過操作系統(tǒng)公鑰進(jìn)行簽名解密與(證書+證書機(jī)構(gòu)信息)Hash后驗(yàn)證读处。確定無誤后,再通過證書的公鑰對證書簽名進(jìn)行解密以及Hash驗(yàn)證妙啃,確認(rèn)無誤后即確定服務(wù)器公鑰無誤。
接著客戶端生成一個pre master secret(隨機(jī)數(shù))俊戳,通過服務(wù)器公鑰加密揖赴,發(fā)送給服務(wù)器,接著客戶端和服務(wù)端利用之前的隨機(jī)數(shù)以及pre master secret生成對稱加密的秘鑰開始進(jìn)行對稱加密通信抑胎。
