Некоторые пробелы в понимании рабочего процесса инфраструктуры открытых ключей

Недавно я наткнулся на базовое понимание процесса работы PKI в действии. Я просмотрел основные статьи о принципах, но все же чувствую себя довольно глупо, чтобы понять этот процесс. Я понимаю, что PKI не предназначен для «Моего блога», но для простоты давайте рассмотрим простой пример «Мой электронный магазин» (например, apache и php) и простые концепции. Я написал несколько утверждений, которые могут быть расплывчатыми или даже неправильными, но вот что я хочу знать о процессе PKI:

1. «Мой электронный магазин», поскольку компания должна быть «сертифицирована» в каком-то стороннем центре сертификации. Это означает, что мне нужно купить какое-то членство в этом ЦС на 1 год, а затем они зарегистрируют «Мой электронный магазин» в своих системах и выдадут мне некоторые вещи, такие как сертификат и пару уникальных открытых и закрытых ключей. Получу ли я какой-нибудь файл сертификата?

2. Выпущенный сертификат заполняется моей информацией и открытым ключом и сохраняется в каком-то файле на моем веб-сервере. Сертификат подтверждает, что «Мой интернет-магазин» не является воровским бюро.

3. Каждый раз, когда пользователи заходят в «Мой интернет-магазин» через «https», их браузеры «молча» проверяют представленный сертификат «Моего интернет-магазина» с тем, который зарегистрирован в CA.

   1. А как насчет пользователей? Генерируют ли их браузеры локальные открытые + закрытые ключи при входе в «Мой электронный магазин» через https?

4. Когда какой-либо пользователь входит в «Мой электронный магазин» через https, происходит следующее: «Мой электронный магазин» (веб-сервер) получает открытый ключ (PK1) пользователя. Сервер незаметно предоставляет пользователю сертификат «Мой интернет-магазин», поэтому пользователи получают открытый ключ (PK2) «Моего интернет-магазина». После некоторой тихой проверки браузер пользователя проверяет представленный сертификат и устанавливается безопасный канал.

5. Когда пользователь отправляет запрос по защищенному каналу, запросы шифруются открытым ключом «Моего электронного магазина». Затем веб-сервер расшифровывает запрос своим закрытым ключом. Затем веб-сервер отправляет зашифрованный ответ с открытым ключом пользователя. В конце браузер пользователя расшифровывает ответ своим закрытым ключом.