Un certificado es un objeto que contiene un nombre y una clave pública , y que está firmado. La autoridad de certificación es la entidad que aplica la firma: al hacerlo, la CA declara: " esta clave pública es realmente propiedad del individuo con ese nombre". La propiedad de la clave se define mediante el control de la clave privada correspondiente.
La solicitud de certificado es un objeto que contiene un nombre y una clave pública, que envía a una CA. La CA creará el certificado (y luego lo firmará), colocando en él los datos relevantes; en particular, colocará la clave pública que envió como parte de la solicitud. Por supuesto, la CA lo hará solo después de verificar que realmente es su clave (supongo, o al menos espero firmemente, que, en su situación, el "departamento de TI" tenga una forma razonablemente confiable de asegurarse de que la solicitud de certificado que recibieron es realmente el que usted envió). Por supuesto, para generar la solicitud de certificado, tenía que generar un par de claves pública / privada. La clave privada nunca dejó tu computadora; solo la parte pública fue enviada a la AC
Al instalar el certificado en su máquina, a lo largo de la clave privada correspondiente, permitió que PHP realizara la autenticación de cliente basada en certificados. El protocolo principal para eso es SSL / TLS (por lo tanto, HTTPS, que es HTTP sobre SSL). Cuando el cliente SSL se conecta al servidor, realizan una criptografía (el "apretón de manos"), y el servidor puede solicitar un certificado al cliente: el cliente debe enviar el certificado y usar el correspondiente clave privada para responder a un desafío desde el servidor (básicamente, calcular una firma digital ). Luego, el servidor valida el certificado (es decir, verifica la firma que aplicó la CA): este certificado le dice al servidor cuál es su clave pública su , momento en el cual el servidor puede verificar su respuesta al desafío y , por lo tanto, asegúrese de que realmente está hablando con usted.
Resumen: el servidor autentica a su cliente al verificar que el cliente controla una clave privada que corresponde a una clave pública específica. El certificado enlaza esa clave pública a su nombre. La CA establece esta vinculación. Para producir el certificado, la CA necesita conocer su clave pública; su clave pública está contenida en la solicitud de certificado que envió a la CA.