CA устанавливает содержимое сертификата X.509 (см. TBScertificate sequence ), включая его собственный DN субъекта в качестве DN эмитента сертификата (то же самое для альтернативных имен, если таковые имеются).
Затем он подписывает сертификат для формирования последовательности Certificate: он устанавливает тип подписи и заполняет подпись, которую он создал, используя свой закрытый ключ. Например, если тип подписи SHA-1 с RSA (довольно распространенный), он создаст хэш / дайджест SHA-1 со значением TBScertificate и подпишет его с помощью своего (RSA) личного ключа.