Autoridad de certificación PKI privada a claves y certificados

Estoy tratando de configurar OpenVPN y estoy un poco confundido acerca de los términos.

Por lo que he leído, una PKI consiste en:

• Un certificado separado (también conocido como clave pública)
• Una clave privada para el servidor y cada cliente.

Esa parte estoy bien y entiendo.

La segunda parte de una PKI, y la parte que me cuesta entender debido a los diferentes términos, se trata de la Autoridad de Certificación (CA).

La documentación dice

Genere el certificado y la clave de la Autoridad de certificación (CA) maestra

En esta sección, generaremos un certificado / clave maestro de CA, un certificado de servidor / clave y una clave que se utiliza para firmar cada uno de los certificados de servidor y cliente.

Los términos que he escuchado y parte de lo que me confundió son las personas que se refieren a

• Llaves maestras
• Certificados de raíz
• Claves privadas de la autoridad de certificación
• Claves de autoridad de certificación
• Certificados de autoridad de certificación

No estoy seguro de si varios de estos se refieren a lo mismo, pero la Autoridad de Certificación me tiene muy confundido.

¿Por qué la autoridad de certificación tiene claves en primer lugar? Pensé que el trabajo de la Autoridad de Certificación era firmar claves en servidores y clientes. ¿La CA también necesita una clave privada en este proceso? ¿Es esta clave privada con personas a las que se refieren cuando hablan de claves maestras o certificados raíz? ¿Y son estos certificados raíz lo mismo que las claves privadas?

He visitado varias páginas web y todavía tengo problemas para entender la CA.

En esta sección, generaremos un certificado / clave maestro de CA, un certificado de servidor / clave y una clave que se utiliza para firmar cada uno de los certificados de servidor y cliente.

Eso ... supongo que eso es solo el resultado de copiar y pegar accidentalmente unir dos párrafos diferentes. Debería ser así:

"En esta sección, generaremos una clave / certificado CA maestro que se utilizará para firmar cada uno de los certificados de servidor y cliente".

¿Por qué la autoridad de certificación tiene claves en primer lugar? Pensé que el trabajo de la Autoridad de Certificación era firmar claves en servidores y clientes.

Bueno, sí, y para eso están exactamente las claves: todos los tipos comunes de firmas digitales requieren un par de claves. Los clientes y servidores de TLS usan sus claves para firmar los datos de "protocolo de enlace" de la conexión, mientras que las CA usan sus claves para firmar los certificados emitidos.

¿Es esta clave privada con personas a las que se refieren cuando hablan de claves maestras o certificados raíz? ¿Y son estos certificados raíz lo mismo que las claves privadas?

Cerca, pero no. Los certificados solo contienen la mitad pública del par de claves, junto con información adicional (nombre del propietario, nombre del emisor y firma, etc.). Por lo tanto, nunca son lo mismo que las claves privadas, pero siempre vienen en pares coincidentes.

Si alguien firma un archivo con su clave privada, puede verificar la firma con la clave pública almacenada en su certificado. Por ejemplo, todos los certificados emitidos se firman con la clave privada de la CA y se verifican con el certificado de la CA.

(El propio certificado de la CA está firmado por sí mismo, pero no tiene sentido verificarlo realmente, ya que se configuró explícitamente como una raíz confiable).

Entonces, al final, todos los términos que enumeró se refieren a lo mismo: su nueva CA tiene un par de claves (una clave privada y un certificado correspondiente), y lo usa para firmar todos los certificados emitidos.

Aquí hay algunos buenos artículos sobre cómo funciona el certificado. Será útil para comprender el certificado digital:

¿Qué son los certificados?

Cómo funciona el certificado