SSL握手步骤: 客户端向服务器发送SSL版本号、密码设置、随机生成的数据和其他服务器需要使用SSL与客户端通信的信息。 服务器向客户端发送服务器的SSL版本号、密码设置、随机生成的数据和客户端需要使用SSL与服务器通信的其他信息。服务器还发送自己的数字证书,并且如果客户端请求需要客户端身份验证的服务器资源,则请求客户端的数字证书。 客户端使用服务器发送的信息对服务器进行身份验证。如果无法验证服务器,则会警告用户无法建立加密和经过身份验证的连接。如果可以成功验证服务器,则客户端继续。 使用到目前为止握手生成的所有数据,客户端创建本次会话的预主密钥,使用服务器的公钥(从服务器的数字证书中获取)对其进行加密,并将加密后的预主密钥发送到服务器。 如果服务器已请求客户端身份验证(握手中的可选步骤),则客户端还会签署另一段数据,该数据是本次握手唯一且由客户端和服务器共同知道的。在这种情况下,客户端将签名数据和客户端自己的数字证书与加密后的预主密钥一起发送给服务器。 如果服务器已请求客户端身份验证,则服务器会尝试验证客户端。如果无法验证客户端,则会终止会话。如果可以成功验证客户端,则服务器使用其私钥解密预主密钥,然后执行一系列步骤,客户端也从同一个预主密钥开始执行,以生成主密钥。 客户端和服务器都使用主密钥生成会话密钥,该会话密钥是用于加密和解密SSL会话期间交换的信息以及验证其完整性的对称密钥。 客户端通知服务器,未来来自客户端的消息将使用会话密钥进行加密。然后,它发送一个单独的加密消息,指示客户端握手部分已完成。 服务器向客户端发送消息,告知其未来来自服务器的消息将使用会话密钥进行加密。然后,它发送一个单独的加密消息,指示服务器握手部分已完成。 SSL握手现在已经完成,SSL会话已经开始。客户端和服务器使用会话密钥加密和解密彼此发送的数据,并验证其完整性。 来源: http://www.pierobon.org/ssl/ch2/diagram.htm