5.5.2         Žádost o vydání nového certifikátu

Z výše uvedených skutečností vyplývá, že kromě případu s čipovou kartou či USB tokenem[22] by zájemce o vydání certifikátu neměl „jen tak“ přijít na certifikační (či registrační) autoritu a požadovat po ní, aby mu certifikát vystavila. Přesněji neměl by chtít, aby vše začalo až teprve na certifikační autoritě.

Místo toho je nutné, aby si zájemce o certifikát nejprve připravil – a to „u sebe“, na svém počítači – potřebnou žádost o vydání nového certifikátu. Přílohou takovéto žádosti nejspíše budou i určité smluvní dokumenty, které musí žadatel vyplnit. Samotnou žádostí (ve věcném slova smyslu) je ale datový soubor předepsaného formátu (PKCS#10, viz část 5.3.2.), obvykle s příponou .req.

Jak již víme z předchozího výkladu, ještě před touto žádostí (nebo v rámci jejího vytváření) muselo dojít ke generování nezbytných párových dat tak, aby veřejný klíč mohl být přiložen k samotné žádosti, a tato mohla být podepsána pomocí odpovídajícího soukromého klíče.

Teprve se správně vytvořenou žádostí má smysl chodit na certifikační autoritu a chtít po ní vystavení nového certifikátu. Případně jej certifikační autoritě poslat, pokud pro vydání certifikátu není nutná osobní přítomnost žadatele (viz dále). Protože to první, co certifikační autorita bude po každém žadateli požadovat, je právě takováto (správně vytvořená) žádost.

Připomeňme si také, že již při generování žádosti musí zájemce správně zohlednit to, jak bude chtít následně vydaný certifikát používat, především pokud jde o jeho uložení a možnost exportu. Musí na to pamatovat již při generování párových dat, které pro svou žádost potřebuje.

Snad netřeba zdůrazňovat, že certifikační autorita neodpovídá za případné chyby, ke kterým zde může dojít. Například pokud si uživatel nechá vygenerovat soukromý klíč jako neexportovatelný, a kvůli tomu nejde exportovat a následně importovat do jiného úložiště, není to vina certifikační autority a není to důvodem k bezplatnému vydání nového certifikátu. Obdobně v případě, kdy si uživatel nechal vygenerovat soukromý klíč do nějakého konkrétního úložiště, ale pak o něj přišel (například kvůli havárii disku). Nebo když potřebuje instalovat již vydaný certifikát do jiného úložiště (či jen skrze jiný CSP modul), než do kterého byl vygenerován soukromý klíč.