Firma de certificado SSL por una CA

Lo que Verisign hace, básicamente, es cifrar su certificado usando su clave privada y enviarle el resultado. El navegador del usuario contiene la clave pública de Verisign, por lo que puede verificar que su clave haya sido firmada por Verisign al descifrarla con esa clave pública.

Pueden reenviarte tu certificado con la frecuencia que desees (pueden o no elegir hacerlo comercialmente, pero no hay ninguna razón de seguridad por la que no deban hacerlo). Lo que no pueden volver a crear para usted es la clave privada que utilizó para generar el certificado y que debe estar instalada en todos sus servidores web. Si pierde eso, debe obtener un nuevo certificado empezando desde cero.

Para obtener un certificado firmado, envía a la CA una C ertificate S igning R equest , que es algo así como un certificado incompleto. La CA genera un certificado para firmar, utilizando tanta o poca información de la CSR como la CA decide incluir, según las políticas de la CA, el tipo de certificado que compró, etc. El certificado generado siempre incluye la clave pública de la CSR, sin embargo, y generalmente también contiene el mismo nombre de la CSR.

Tanto el certificado como el CSR están definidos por la especificación X.509, por lo que decir "x509" no limita las cosas más allá de eso.

Pero como regla general, lo único que envía a la CA es la CSR. No necesitan nada más y no tienen ningún uso para nada más. Ciertamente, no les envía la clave privada; todo el proceso de firma se construyó alrededor de la idea de que nunca comparte la clave privada con nadie . La clave privada se crea al mismo tiempo que la CSR, pero se mantiene privada, mientras que la CSR se envía a la CA, que le devuelve un certificado a cambio. La clave pública que figura en el certificado coincidirá con la clave privada que creó cuando creó la CSR.