Firma certificato SSL da parte di una CA.

Che cosa significa Verisign, in pratica, è crittografare il certificato utilizzando la propria chiave privata e inviarti il risultato. Il browser dell'utente contiene la chiave pubblica di Verisign, quindi è in grado di verificare che la tua chiave sia stata firmata da Verisign decrittandola utilizzando quella chiave pubblica.

Possono inviarti di nuovo il certificato tutte le volte che vuoi (potrebbero o meno decidere di farlo commercialmente, ma non c'è motivo per cui non dovrebbero farlo). Quello che non possono ricreare per te è la chiave privata che hai usato per generare il certificato e che deve essere installato su tutti i tuoi server web - se lo perdi, devi ottenere un nuovo certificato partendo da zero.

Per ottenere un certificato firmato, invii alla CA un C ertificato S ignorando R equest , che è qualcosa come un certificato incompleto. La CA genera quindi un certificato da firmare, utilizzando tante o poche informazioni dal CSR, in quanto la CA decide di includere, in base ai criteri della CA, il tipo di certificato acquistato, ecc. Il certificato generato sempre include la chiave pubblica dal CSR, tuttavia, e di solito contiene lo stesso nome anche dal CSR.

Sia il certificato che la CSR sono definiti dalla specifica X.509, quindi dire "x509" non limita le cose al di là di questo.

Ma di regola l'unica cosa che invii alla CA è la CSR. Non hanno bisogno di nient'altro e non hanno alcuna utilità per nient'altro. Certamente non li mandi la chiave privata - l'intero processo di firma è stato costruito attorno all'idea di non condividere la chiave privata con nessuno , mai. La chiave privata viene creata contemporaneamente al CSR, ma viene mantenuta privata, mentre il CSR viene inviato alla CA, che restituisce un certificato in cambio. La chiave pubblica elencata nel certificato corrisponderà alla chiave privata che hai creato quando hai creato il CSR.