Certyfikat nie ma hasel. Gdyby byla taka mozliwosc, to SSLem moglbys sobie dupe podetrzec.

Certyfikat ma tylko klucz publiczny (ktory sluzy do szyfrowania lub deszyfrowania, zaleznie od opcji x509).

Klucz publiczny w certyfikacie ktory otrzymujesz od serwera sluzy tylko temu bys mogl wyslac mu tajne dane (w zalozeniu wymienic klucz, aczkolwiek klucz nie jest do tego potrzebny). Weryfikujesz certyfikat servera porownujac DN z hostem, oraz deszyfrujesz jego podpis kluczem z certyfikatu weryfikacyjnego (rozni sie od 'zwyklego' tyklko opcja PublicKeyUsage). Jak cert sie zgadza, jest wazne i nie odwolany, mozesz uznac ze serwer jest tym za kogo sie podaje i wysylasz mu jakeis dane i tylko on bedzie mogl je poznac (w uproszczeniu, tak naprawde wysylasz mu porcje DH i uzgadniasz klucz). Calosc opiera sie na tym, ze CA podpisal certyfikat wiazacy DN z kluczem. Ufasz CA - wiesz ze tylko Twj BANK internetowy - kredyty - lokaty - konta - poyczki odczyta co mu wyslales (albo w tym przypadku nikt inny nie spoofnie czesci DH).