Khi một người sử dụng đã được xác nhận định danh và được trung tâm đăng ký LRA chấp nhận yêu cầu, một chứng chỉ sẽ được phát hành trên khoá công khai của người đó. Khoá này có thể được sinh bởi người sử dụng (chương trình ứng dụng trao cho người sử dụng) hoặc bởi trung tâm CA. Trong cả hai trường hợp khoá phải được gửi an toàn đến CA, bởi vậy CA có thể liên kết nó với những thông tin chính xác đã được LRA gửi cho CA. Các chứng thư số được phát hành, đồng thời được lưu trữ trong một thư mục chứng thư, trong trường hợp một số người sử dụng trong hệ thống PKI có thể tải về nếu cần thiết. Tại bất kỳ thời điểm nào, trung tâm CA phải duy trì một trạng thái đúng đắn của các chứng thư, chẳng hạn như khi chứng thư bị huỷ bỏ vì một lý do nào đó (nghi ngờ khoá bị tiết lộ, hết hạn…). Người sử dụng có thể lấy được trạng thái chính xác của các chứng thư tại bất kỳ thời điểm nào. Đối với những chứng thư bị huỷ bỏ sẽ được đưa vào danh sách gọi là danh sách các chứng thư bị huỷ bỏ CRLs. Điều này nói lên rằng nếu một chứng chỉ không xuất hiện trên danh sách CRL,
nó có thể coi là vẫn hoạt động bình thường. CA phải duy trì danh sách CRL này và thiết lập danh sách này trên thư mục.
Quy trình đăng ký chứng thư
(1) User gửi thông tin về bản thân và khoá công khai tới CA
(2) RA gửi thông tin về người dùng và ký yêu cầu được chấp thuận tới CA (3) CA tạo chứng thư trên khoá công khai, ký bằng khoá bímật của CA và
cập nhật chứng thư trên thư mục (4) CA gửi chứng thư trở lại RA
(5) RA cấp chứng thư cho người sử dụng Quy trình huỷ bỏ chứng thư
(1) Người dùng gửi yêu cầu huỷ bỏ chứng thư tới RA
(2) RA gửi yêu cầu huỷ bỏ chứng thư sau khi đã ký đến trung tâm CA
(3) Sau khi xem xét, CA loại chứng thư có yêu cầu huỷ bỏ và cập nhật danh sách chứng thư huỷ bỏ trên thư mục các chứng thư bị huỷ.
(4) CA gửi mã thông báo ACK trở lại RA
(5) RA gửi thông báo đã huỷ tới người sử dụng.