In diesem Abschnitt werden ein Master-CA-Zertifikat / -Schlüssel, ein Serverzertifikat / -schlüsselzertifikat und ein Schlüssel generiert, die zum Signieren der Server- und Clientzertifikate verwendet werden.
Ich denke, das ist nur das Ergebnis von Copy & Paste, bei dem versehentlich zwei verschiedene Absätze zusammengefügt wurden. Es sollte so sein:
"In diesem Abschnitt erstellen wir ein Master-CA-Zertifikat / einen Schlüssel, mit dem die Server- und Client-Zertifikate signiert werden."
Warum hat die Zertifizierungsstelle überhaupt Schlüssel? Ich dachte, die Zertifizierungsstelle habe die Aufgabe, Schlüssel auf Servern und Clients zu signieren.
Nun, ja, und genau dafür sind die Schlüssel - alle gängigen Arten digitaler Signaturen benötigen ein Schlüsselpaar. TLS-Clients und -Server verwenden ihre Schlüssel zum Signieren der Verbindungs-Handshake-Daten, während Zertifizierungsstellen ihre Schlüssel zum Signieren der ausgestellten Zertifikate verwenden.
Ist dieser private Schlüssel, auf den sich die Leute beziehen, wenn sie über Hauptschlüssel oder Stammzertifikate sprechen? Und sind diese Stammzertifikate dasselbe wie private Schlüssel?
Nah dran, aber nein. Zertifikate enthalten nur die öffentliche Hälfte des Schlüsselpaares sowie einige zusätzliche Informationen (Name des Inhabers, Name des Herausgebers und Unterschrift usw.). Sie sind also niemals dasselbe wie private Schlüssel, kommen aber immer in passenden Paaren.
Wenn jemand eine Datei mit seinem privaten Schlüssel signiert, können Sie die Signatur anhand des öffentlichen Schlüssels überprüfen, der in ihrem Zertifikat gespeichert ist. Beispielsweise werden alle ausgestellten Zertifikate mit dem privaten Schlüssel der Zertifizierungsstelle signiert und mit dem Zertifikat der Zertifizierungsstelle verifiziert.
(Das eigene Zertifikat der Zertifizierungsstelle ist von sich aus signiert, aber es ist sinnlos, es tatsächlich zu überprüfen, da es explizit als vertrauenswürdiger Stamm konfiguriert wurde .)
Am Ende beziehen sich alle aufgeführten Begriffe auf dasselbe: Ihre neue Zertifizierungsstelle verfügt über ein Schlüsselpaar (einen privaten Schlüssel und ein entsprechendes Zertifikat) und signiert damit alle ausgestellten Zertifikate.