1. 客户端先发出请求
首先,客户端(通常是浏览器)先向服务器发出加密通信需求,这加clientHello请求。在这一步,客户端主要向服务器提供以下信息。
1.支持的协议版本,比如TLS1.0版本
2.一个客户端生成的随机数,稍后用于生成“对话密钥“
3.支持加密算法,比如RSA公钥加密
4.支持压缩是方法
2、服务器回应
服务器收到客户端请求后,向客户端发出回应,这叫serverHello。服务器的回应包含以下内容。
1.确认使用的加密通信协议版本,比如TLS1.0版本,如果浏览器和服务器支持的版本不一致,服务器关闭加密通信。
2.一个服务器生成随机数,稍后用于生成“对话密钥“
3.确认使用的加密方法,比如RSA公钥加密
4.服务器证书
3、客户端回应
客户端接收到服务器的回应以后,首先验证服务器证书。如果验证服务器证书不是可信机构颁布,或者证书中的域名与实际域名不一致,或者证书已经过期,就会向访问者显示一个警告,由其选择是否继续通信。如果证书没有问题,服务器就会从证书中取出服务器的公钥,然后项服务器发送下面三项信息。
1.一个随机数。该随机数用服务器的公钥加密,防止被窃听
2.编码改变通知,表示随后的信息都将用双方商定的加密方法和密钥发送
3.客户端握手结束通知,表示客户端的握手阶段已经结束。这一项同时也是前面发送的所有内容的hash值,用来供服务器校验
上面的第一项随机数,是整个握手阶段出现的第三个随机数,又称“pre-master key“,有了它以后,客户端和服务端就同时有了3个随机数,接着按照事先商定的加密方法,各自生成本次会话所用的会话密钥。
4、服务器的最后回应
服务器收到客户端的第三个随机数pre-master key之后,计算生成本次会话所用的“会话密钥“。然后向客户端发送一下信息
1.编码通知改变,表示随后的信息都将用双方商定的加密方法和密钥发送
2.服务器握手通知结束,表示服务器的握手阶段以及结束。这一项同时也是前面发送的所有内容的hash值,供客户端校验
至此,整个握手阶段全部结束。接下来,客户端与服务器进入加密通信,就完全使用普通的HTTP协议,只不过用“会话密钥”加密内容。
