サーバBから暗号一覧が送信され、サーバAとの安全な接続が要求されると、ハンドシェイクが開始されます。

すると、サーバAでは、サーバBから送信された暗号一覧から1つを選択して、デジタル証明書で応答します。この証明書は、証明機関 (CA) によって署名されている場合があります。

サーバBでは、信頼されたCA証明書を使用してサーバAのIDを確認します。確認が失敗すると、サーバBでは、TLSハンドシェイクを停止する場合があります。

サーバAのIDを確認する際、サーバBでは、セッションキーを生成します。その際、公開鍵を使用してメッセージが暗号化されます。

このメッセージは、対応する秘密鍵を使用した場合のみ復号化できます。そのため、サーバBのIDは、サーバAで秘密鍵を使用してメッセージを正常に復号化できる場合に認証されます。

暗号化と復号化に必要な情報が2台のサーバで作成された後、ハンドシェイクが完了し安全な接続が確立します。