Myslim ze to neni Version ale spis Class - to je uroven overeni jeho drzitele. U Class 1 se overuje napriklad jen pristup k administraci domeny/emailu (vetsinou prave emailem nebo z whois), u Class 2 uz se kontroluje identita zadatele (tzn. jestli ma doklady na nejake jmeno a to jmeno se pak uvadi do certifikatu - v pripade firmy se overuje existence firmy), u Class 3 je to jeste hlubsi a zkouma se postaveni cloveka v organizaci, jestli ma pravo certifikat drzet, drzi se archiv dokumentu atd...
Co se tyce .pem, .key, .csr, .crt...
.pem je format pro x509 obecne - muze v tom byt klic, certifikat, zadost - proste na ty pripony radeji nekoukat
.key byva klic (privatni v tvem pripade)
.csr - certificate sign request - tvym privatnim klicem podepsana zadost o overeni certifikatu (tzn. obsahuje zadost o certifikat a tvuj podpis)
.crt - certifikat podepsany autoritou, ktery vznikl overenim .csr (jestli udaje v .csr jsou platne - to se tyka napriklad tech typu Class - ty si do CSR muzes dat jmeno Petr Machacek a email
petr@machacek.cz, ale CA ti to do certifikatu neda protoze overuje napriklad jen email - tzn. certifikat obsahuje jen
petr@machacek.cz a jmeno ne)
pro apache potrebujes .key, .crt a certificate chain (vsechny certifikaty az k rootu) certifikacni autority ktera to overila
vetsina softu (treba ten apache) to umi brat z jednoho souboru, je to tak jednodussi. V zasade tam das vsechno a apache si to vybere.
Vetsina lidi dela tu chybu, ze tam da prave jen certifikat a klic - to nekdy staci a nekdy ne. Hlavne pro telefony a PDA ktere nemaji tak dobre implementovane x509 tam chybi prave cesta k tomu CA.
V realu totiz je v browseru/zarizeni prave jen root CA (rekneme "CA Root certificate"), pod nim jsou 3 sub-CA (CA Class1-3) a teprve ty 3 CA podepisuji certifikaty. Pri komunikaci s tvym serverem je dobre posilat i celou cestu k tomu rootu jinak to zarizeni nevezmou a ty pak marne zkoumas kde je chyba...