L' identificativo della chiave soggetto (SKID) è un'estensione x509 e quindi parte del certificato. L'impronta digitale invece non fa parte del certificato ma è invece calcolata dal certificato. Un certificato non deve necessariamente avere uno SKID e può avere al massimo uno SKID. Ma dal momento che l'impronta digitale è solo una calcolata dal certificato, possono esserci più impronte digitali, come una che usa SHA-1, una che usa SHA-256, una che usa MD5 ...
Lo SKID viene utilizzato per creare la catena di fiducia non basata sull'oggetto del certificato e sull'emittente ma sul certificato SKID e sull'identificatore della chiave di autorità (AKID). Ciò semplifica il trattamento delle situazioni in cui la stessa stringa soggetto viene utilizzata con più certificati CA. Mentre la RFC 3280 descrive i metodi comuni per generare SKID l'unico vero requisito è che lo SKID del Il certificato CA deve corrispondere all'AKID in tutti i certificati emessi da questa CA.
Nell'esempio seguente si può chiaramente vedere che lo SKID BB:AF:7E:02:3D:FA:...
dell'emittente corrisponde all'AKID del certificato emesso:
...
Issuer: C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Certification Authority
...
Subject: C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Domain Validation Secure Server CA
...
X509v3 extensions:
X509v3 Authority Key Identifier:
keyid:BB:AF:7E:02:3D:FA:A6:F1:3C:84:8E:AD:EE:38:98:EC:D9:32:32:D4
----
...
Issuer: C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Certification Authority
...
Subject: C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Certification Authority
...
X509v3 extensions:
X509v3 Subject Key Identifier:
BB:AF:7E:02:3D:FA:A6:F1:3C:84:8E:AD:EE:38:98:EC:D9:32:32:D4