2.3.3.1 Xin cấp một chứng chỉ
Trước khi CA có thể phát hành một chứng chỉ cho một thuê bao, thuê bao cần đăng ký với CA. Việc đăng ký trước hết thiết lập một mối quan hệ giữa thuê bao và CA, sau đó chuyển thông tin xác định của thuê bao cho CA.
Tuỳ vào từng trường hợp, việc đăng ký có thể là một hành động có ý thức hoặc không có ý thức của thuê bao. Ví dụ, trong trường hợp ông chủ cấp cấp chứng chỉ cho những người làm công của mình, quá trình đăng ký có thể tự động. Mối quan hệ rất dễ nhận ra. Ông chủ điều hành giống như một CA, tự động truy nhập vào CSDL của một người và từ đó có được bất cư thông tin cần thiết về người làm công này.
Trong trường hợp của một CA trung gian, quá trình đăng ký rõ ràng là rất quan trọng, người cần chứng chỉ phải xin cấp và chấp nhận chứng chỉ. Thêm vào đó, khi đăng ký với một CA, thuê bao cần cần xin cấp chứng chỉ một cách rõ ràng. Sự khác biệt giữa đăng ký và xin cấp một chứng chỉ là ở chỗ một yêu cầu xin cấp chứng chỉ cần có thông tin xác định cho từng chứng chỉ được phát hành, ví dụ như giá trị của khoá công khai và các trường xác định khác.
2.3.3.2 Quá trình tạo chứng chỉ
Quá trình tạo chứng chỉ bao gồm các bước sau đây: 1. CA nhận được các thông tin cần thiết cho chứng chỉ
2. CA kiểm tra sự chính xác của các thông tin trong nội dung của chứng chỉ (phù hợp với các chuẩn và các chính sách áp dụng)
3. Chứng chỉ được ký bằng một thiết bị ký sử duẹnh khoá riêng CA.
4. Một bản sao của chứng chỉ được chuyển tới thuê bao và nếu được yêu cầu, thuê bao sẽ gửi trả lại một xác nhận (cho biết thuê bao đã nhận được chứng chỉ)
5. Như một dịch vụ của CA, một bản sao của chứng chỉ có thể được đưa tới một kho chứa chứng chỉ (nhu dịch vụ thư mục) để công bố.
6. Như một dịch vụ tuỳ chọn của CA, một bản sao của chứng chỉ có thể được CA lưu giữ.
7. CA ghi lại các chi tiết thích hợp của quá trình tạo chứng chỉ trên một sổ nhật ký kiểm toán.
2.3.3.3 Xác thực chủ thể
Trước khi phát hành một chứng chỉ, CA cần xác nhận đặc điểm nhận dạng của người, thiết bị hoặc thực thể nắm giữ khoá riêng tương ứng với khoá công khai có trong chứng chỉ. CA hoặc thực thể nào đó được CA tin cậy phải tiếp cận các đặc điểm tiêu biểu xác định của người, thiết bị hoặc thực thể yêu cầu.
Việc xác nhận nhận dạng sử dụng một hoặc nhiều kỹ thuật và thủ tục như sau:
Sự hiện diện cá nhân (personal presence): Sự xuất hiện của một người trước một thực thể tin cậy được công nhận rộng rãi rất quan trọng đối với xác nhận nhận dạng. nó không những cho phép một CA hoặc một người được uỷ quyền của CA có được thông tin, hoặc các đặc điểm điển hình của người xin cấp chứng chỉ, mà còn cho phép đánh giá tư cách của một người và tuân theo các qui tắc và hành động thích hợp. một khi thiết lập được nhận dạng (dựa vào sự hiện diện cá nhân), thì sự xuất hiện của một người sẽ không cần thiết cho các mục đích chữ ký số. Nhận dạng dựa vào sự hiện diện cá nhân thường đựoc tiến hành kết hợp với các tài liệu nhận dạng.
Các tài liệu nhận dạng (identification document): Một CA hoặc một người được uỷ quyền của CA có thể sử dụng các tài liệu nhận dạng, hoặc riêng lẻ, hoặc kết hợp với người xin cấp chứng chỉ. Các tài liệu như vậy (thông thường có chứa ảnh, ví dụ nhưu hộ chiếu, thẻ của người làm công, hoặc bằng lái xe) được công nhận rộng rãi để đảm bảo xác nhận nhận dạng tin cậy.
Các yêu cầu nhận dạng tài liệu trong thương mại và chính phủ được quan tâm khác nhau. Việc sử dụng các tài liệu nhận dạng (phù hợp với mọi kỹ thuật xác nhận nhận dạng) sẽ kèm theo các rủi ro tiềm ẩn. Các CA và những người uỷ quyền của CA có thể nhận biết một cách dễ dàng các rủi ro này.