Ko odjemalec vzpostavi prvi stik s strežnikom, mu ta v odgovor povrne javni ključ (ali digitalno potrdilo). Odjemalec nato ustvari ključ za enkratno rabo ali t. i. sejni simetrični ključ. Ta ključ šifrira z javnim ključem, pridobljenim v prvem koraku, in ga pošlje strežniku, ki poseduje ustrezen zasebni ključ za odšifriranje.