Autorità di certificazione PKI private chiavi e certificati

Sto cercando di configurare OpenVPN e sono un po 'confuso riguardo ai termini.

Da quello che ho letto, un PKI è costituito da:

• Un certificato separato (noto anche come chiave pubblica)
• Una chiave privata per il server e ogni client.

Quella parte con cui sto bene e ho capito.

La seconda parte di un PKI e la parte che sto riscontrando un po 'di problemi a causa di tutti i diversi termini riguarda l'autorità di certificazione (CA).

La documentazione dice

Generare il certificato e la chiave dell'autorità di certificazione (CA) principale

In questa sezione genereremo un certificato / chiave CA principale, un certificato server / certificato chiave e chiave utilizzati per firmare ciascuno dei certificati server e client.

I termini che ho sentito gettare in giro e parte di ciò che mi ha confuso sono le persone a cui si riferiscono

• Chiavi master
• Certificati di root
• Chiavi private dell'autorità di certificazione
• Chiavi dell'autorità di certificazione
• Certificati dell'autorità di certificazione

Non sono sicuro che molti di questi si riferiscano tutti alla stessa cosa, ma l'autorità di certificazione mi ha confuso molto.

Perché in primo luogo l'autorità di certificazione ha le chiavi? Pensavo che il compito dell'autorità di certificazione fosse firmare chiavi su server e client. La CA ha anche bisogno di una chiave privata in questo processo? È questa chiave privata con persone che si riferiscono a quando parlano di chiavi master o certificati root. E questi certificati radice sono la stessa cosa delle chiavi private?

Ho visitato diverse pagine Web e ho ancora problemi a comprendere la CA.

In questa sezione genereremo un certificato / chiave CA principale, un certificato server / certificato chiave e chiave utilizzati per firmare ciascuno dei certificati server e client.

Questo ... immagino che sia solo il risultato del copia e incolla che combina accidentalmente due paragrafi diversi insieme. Dovrebbe essere così:

"In questa sezione genereremo un certificato / chiave CA principale utilizzato per firmare ciascuno dei certificati server e client."

Perché in primo luogo l'autorità di certificazione ha le chiavi? Pensavo che il compito dell'autorità di certificazione fosse firmare chiavi su server e client.

Bene, sì, ed è esattamente quello a cui servono le chiavi: tutti i tipi comuni di firme digitali richiedono una coppia di chiavi. I client e i server TLS utilizzano le proprie chiavi per firmare i dati di "handshake" della connessione, mentre le autorità di certificazione utilizzano le proprie chiavi per firmare i certificati emessi.

È questa chiave privata con persone che si riferiscono a quando parlano di chiavi master o certificati root. E questi certificati radice sono la stessa cosa delle chiavi private?

Chiudi, ma no. I certificati detengono solo la metà pubblica della coppia di chiavi, insieme ad alcune informazioni extra (nome del proprietario, nome e firma dell'emittente, ecc.). Quindi non sono mai le stesse delle chiavi private, ma arrivano sempre in coppie corrispondenti.

Se qualcuno firma un file con la propria chiave privata, è possibile verificare la firma rispetto alla chiave pubblica memorizzata nel proprio certificato. Ad esempio, tutti i certificati emessi sono firmati dalla chiave privata della CA e verificati rispetto al certificato della CA.

(Il CA proprio certificato è firmato da sé, ma non c'è nessun punto in realtà verificando che, da quando è stato esplicitamente configurato come radice accreditata.)

Quindi, alla fine, tutti i termini che hai elencato si riferiscono alla stessa cosa: la tua nuova CA ha una coppia di chiavi (una chiave privata e un certificato corrispondente) e la usa per firmare tutti i certificati emessi.

Ecco alcuni buoni articoli su come funziona il certificato. Sarà utile per comprendere il certificato digitale:

Cosa sono i certificati

Come funziona il certificato