HTTPS证书如何工作？

HTTPS证书的工作原理，即TLS握手协议，是一个精巧的“数字握手”过程。其核心目标是：在陌生的客户端（浏览器）和服务器之间，不预先共享任何秘密的情况下，安全地协商出一个只有双方知道的“会话密钥”，并用此密钥加密后续通信。这个过程可以详细分解为以下几个步骤：
步骤一：Client Hello（客户端问候）
当你在浏览器输入HTTPS网址并回车后，浏览器（客户端）会向服务器发送一条“Client Hello”消息。这条消息包含：
客户端支持的TLS/SSL协议版本（如TLS 1.2， TLS 1.3）。
客户端支持的加密套件列表（一套算法组合，包括密钥交换算法、对称加密算法、消息认证码算法等）。
一个客户端生成的随机数（Client Random），用于后续生成主密钥。
步骤二：Server Hello（服务器问候）
服务器收到“Client Hello”后，会从中选择一套双方都支持的、它认为安全的TLS版本和加密套件。然后，它向客户端返回一条“Server Hello”消息，内容包括：
选定的TLS版本和加密套件。
一个服务器生成的随机数（Server Random）。
服务器的HTTPS证书（证书中包含了服务器的公钥）。
步骤三：证书验证与密钥交换（关键的步骤）
客户端（浏览器）收到服务器证书后，会进行严格的验证（验证颁发机构、有效期、域名等，详见前文）。验证通过后，客户端会信任服务器的公钥。
接下来，客户端会做两件事：
生成预主密钥（Pre-Master Secret）： 客户端生成另一个随机数，称为“预主密钥”。
加密并发送预主密钥： 客户端使用服务器的公钥加密这个“预主密钥”，然后将加密后的结果发送给服务器。
步骤四：服务器解密预主密钥
服务器收到加密的预主密钥后，使用只有自己才拥有的私钥进行解密，得到明文的“预主密钥”。至此，客户端和服务器都拥有了三个相同的随机数：Client Random， Server Random， 和 Pre-Master Secret。
步骤五：生成会话密钥
现在，双方使用相同的算法（在之前协商的加密套件中定义），将Client Random、Server Random和Pre-Master Secret这三个随机数组合起来，计算生成一个相同的、对称的主密钥（Master Secret）。再由这个主密钥派生出本次会话实际用于加密和解密数据的会话密钥（Session Keys）。
步骤六：握手完成，安全通信开始
客户端和服务器相互发送一条消息，告知对方“接下来的通信将使用刚刚生成的会话密钥进行加密”。此后，双方之间传输的所有HTTP数据（请求和响应）都将被这个高效的对称会话密钥加密和解密，直到会话结束。
简化理解：
可以把非对称加密（公钥/私钥）想象成一次性的、安全的“钥匙盒”交换。客户端把真正的“房间钥匙”（会话密钥）锁进一个只有服务器私钥才能打开的“钥匙盒”（用公钥加密）里寄过去。服务器打开盒子拿到钥匙后，双方就可以用这把钥匙安全、高效地通信了。TLS握手完成了从“不安全公共环境”到“安全私有密室”的切换，而HTTPS证书则是开启这个密室的唯一可信凭证。