Основной принцип цепочки сертификатов в подписании подчиненного сертификата (субъект,subject) родительским (издатель, issure).
При этом понятно , что корневой сертификат никто не может подписать, поэтому-то он всегда будет самоподписной. Это значит издатель должен быть равен субъекту.
Чтобы родитель подписал потомка, потомок должен сформировать родителю запрос на подпись (csr), в котором потомок передает свои данные (в определенном формате).
Подпись происходит в команде openssl ca.
Под подписыванием как обычно понимается , что родитель берет данные потомка , вычисляет их хэш, шифрует хэш своей закрытой частью ключа, и передает потомку этот шифрованный хэш и свою открытую часть ключа.
Таким образом потомок должен содержать в своем составе открытый ключ родителя плюс шифрованный хэш от родителя и сами данные потомка.
Что же это такое данные потомка , которые мы упоминали уже не раз.
Это понятные открытые текстовые данные, данные открытого ключа , разные параметры: CN, O,OU,...
Эти данные можно посмотреть в pem файле.
