Что CA (центр сертификации) предоставляет от CSR?

Question

Мне нужен сертификат SSL для веб-сервера. Я могу сгенерировать самозаверяющий сертификат SSL с помощью следующих команд OpenSSL:

openssl req -newkey rsa:512 -x509 -days 365 -nodes -out cert.pem -keyout cert.pem
openssl dhparam -inform pem -in cert.pem -outform pem -out dhparam.pem 512
cat dhparam.pem >> cert.pem 

Если я хочу получить сертификат, подписанный СА, я могу сгенерировать CSR (запрос на подпись сертификата):

openssl req -newkey rsa:512  -nodes -out cert.csr -keyout cert.key

И отправить его в один ЦС. А потом ? Мне интересно, что CA отправляет обратно: только сертификат или сертификат и параметры DH, поскольку они используются при согласовании между браузером и сервером?

Answer 1

Центр сертификации обычно просто берет открытый ключ в CSR и помещает его в сертификат с собственными параметрами DH.

Answer 2

CA обычно отправляет обратно файл .PEM, который подписан с использованием секретного ключа CA

Answer 3

На самом деле, openssl req достаточно для создания самозаверяющего сертификата. Параметры DH не нужны для работы с сертификатом SSL - или их можно найти в сертификате, созданном центром сертификации.

Таким образом, CA отправит обратно только файл сертификата (например, файл .crt), который должен использоваться вместе с закрытым ключом.