dobrý den, mám generované certifikáty SERVER.CRT(cert.pem), CA.CRT(chain.pem) a FULLCHAIN.PEM, (sloučení prvých dvou) a SERVER.KEY (privkey.pem), (kdo nerozumí co dané soubory znamenají, nemusí odpovídat)
Zajímá mě, čím je zajištěno, kde je uložena vazba v souboru certifikátu SERVER.PEM, v jakém poli, že daný certifkát je opravdu posvěcen nadřazenou autoritou (například R3)
Samotný postup a mechanismus tvorby certifikátu chápu: dám všanc svůj veřejný klíč (spolu s dalšími údaji, například použití budoucího certifikátu, doména, doména2, čas) a kontrolor ověří, že mi ho může vydat (že mi patří doména, nebo mě viděl nebo na dobré slovo) a svým privátním klíčem něco (CO? nějak serializovaná data toho v kurzívě
podepíše. Já si pak tento podpis někam musím přidat.
1. Kam k tomu certifikátu do jakého pole?
2. Nebo už mi "přijde" hotový certifikát, já si ho sám vyrobit nemůžu, když mi přijde správný podpis? Nebo jinak, vzniká certifikát u žadatele nebo ho posílá vydavatel hotový?
Pokud to rozeberu, tak PRIVKEY.PEM můžeme z toho uplně vynechat, jde o soukromý klíč(může obsahovat i veřejný klíč, ale to je taková zkratka). SERVER.PEM je samotný certifikát serveru, ale musí nést informaci s podpisem (a nese i informaci o tom, kdo ho podepsal, myšleno třeba sériové číslo nebo identifikátor nadřazeného certifikátu)? Pak je soubor CA.CRT, který jestli tomu dobře rozumím, je stejný pro všechny certifikáty vydané stejným vydavatelem (tedy v nějakém rozpětí času).
NO A FULLCHAIN.PEM vznikne sloučením právě serverového certifikátu a chain (další certifikáty)
A pak mám na závěr otázku, když do konfigurace webserveru dám jenom server.crt (tedy bez mezilehlých), bude to surfařům fungovat normálně? A nebo jinak, když tam bude fullchain.pem, posílá server surfařům celý řetěz nebo jen server.key nebo se to liší podle nějakých podmínek (podle nějakých flagů, nebo když o to klient zažádá)?