la génération des clés se fait en même temps que le certificat.

Tu as openssl?

Sinon c'est:

openssl req -x509 -days 365 -newkey rsa:2048 -out cert.pem -keyout privkey.pem

Ton vertificat est dans le fichier cert.pem et la clé est dans privkey.pem.

En fait, il faut voir un certificat comme un fichier contenant des info "textuelles" (pas tout à fait vrai mes bon) et ta clés publique.

L'ensemble est alors signée par une clé privée. La tienne en l'occurence.

Si x est un message (des infos à enrypter)
Si Kpv est une clé privée
Si Kpu est une clé publique
Si H(x) est une fonction de hashage à sens unique
Si S(Kpv,x) est une fonction de signature avec clé privée
Si E(Kpu,x) est une fonction de chiffrement avec clé publique (Note que, S(Kpv,x) est équivalent à E(Kpv,H(x)), mais on utilise une autre convention par clarté).
Si D(K,x) est une fonction de déchiffrement à clé publique/clé privée

Un certificat +/- = Info + Kpu + S(Kpv, Info + Kpu)

Vérifier un certificat, c'est simplement tester que:

Le résultat de S(Kpv, Info + Kpu) (notons le SIG) passé dans D, donc

D(Kpu, SIG) est égal à H(Info + Kpu)

Aussi simple que ça.