Problema SSL: a chave privada não corresponde à chave pública fornecida

Eu segui as instruções descritas aqui da amazon.

Um breve resumo:

1. Criado uma chave privada openssl genrsa -out my-private-key.pem 2048

2. Criamos um CSR openssl req -sha256 -new -key my-private-key.pem -out csr.pem

Tenho um zip da CA (Comodo no meu caso) que incluía

• my-site.crt
• três arquivos que representam a cadeia de certificados.

Pergunta 1: Executando os dois comandos a seguir para verificar se o certificado corresponde à chave privada, obtenho códigos MD5 diferentes

openssl rsa -noout -modulus -in my-private-key.pem | openssl md5
openssl x509 -noout -modulus -in my-site.crt | openssl md5

Ou seja. as chaves não correspondem. Alguma ideia do porquê?

Pergunta 2: Em muitos lugares, notei que a documentação pede para converter o arquivo de chave em um arquivo pem usando o seguinte comando

openssl rsa -in my-private-key.pem -outform PEM > aws.private.pem

No entanto, o arquivo de saída é exatamente o mesmo que a entrada. Então, por que isso?

O mesmo para o arquivo crt que recebi da CA

openssl x509 -inform PEM -in my-site.crt > aws.public.pem

Mais uma vez, o arquivo de saída é exatamente o mesmo que a entrada apenas com extensão diferente.

São / Por que essas duas etapas são necessárias?

Obrigado