Ten postup je obecne: Klient se pripojuje, server mu posila svuj certifikat a seznam CA od kterych akceptuje certifikat klienta. Klient overi, ze certifikat serveru je platny a pokud ano posila svuj klientsky certifikat, ktery vybere z uloziste tak, aby byl vystaveny serverem akceptovanou CA. Server overuje certifikat klienta a pokud je OK, tak dochazi k ustaveni SSL spojeni oboustranne zajisteneho certifikaty.
Je to v zasade stejny princip, jaky znate z ustavovani IPsec spojeni.
Fundamentalni rozdil mezi timhle a beznym SSL spojenim s pouzitim serveroveho certifikatu (to je to co zna vetsina ctenaru, kdyz jde do banky) je v tom, ze kdyz nekdo na takove spojeni zautoci, server se to dozvi. Neuvidi totiz platny certifikat klienta. U bezneho SSL spojeni pouze dostava klient hlaseni, ze certifikat serveru je asi spatny, ale muze jej klidne ignorovat a komunikovat bez obav s utocnikem, ktery si dela kopii klientovych dat a na server data forwarduje, takze klient dostava ocekavane odpovedi a netusi, ze je neco spatne.