K tomu ale CA nepotřebuje váš provátní klíč generovat, ani vidět. Ten se generuje optimálně v čipové kartě (o jiném úložišti nemá smysl vůbec ve vztahu k důležitým podpisovým certifikátům vůbec smysl uvažovat) a není cesta, jak jej z karty dostat ven.
Ověření se děje tak, že vytvoříte žádost o certifikát, což je "soubor" obsahující veřejný klíč a informace, které chcete o sobě a svém certifikátu do certifikátu uložit. Toto se podepíše privátním klíčem a pak předá CA. Pak stačí ověřit podpis.