Una richiesta di certificato è "solo" un token che richiede che una CA emetta un certificato con il contenuto impostato come la CA ritenga opportuno . La CA deve riempire il certificato con informazioni che parzialmente ottiene dal richiedente, ma anche da altre fonti. In ogni caso, anche se una richiesta PKCS # 10 consente di specificare un DN completo, la CA non è vincolata a emettere il certificato con esattamente quel DN. Per esempio, nessuna CA sana mi rilascia un certificato, con il DN "CN = Barack Obama, O = Governo degli Stati Uniti, C = USA". Può emettere un certificato con DN "CN = Thomas Pornin", ma solo perché la CA "conosce" il mio nome con un meccanismo fuori banda (ad esempio la richiesta è arrivata attraverso un tunnel SSL, in una sessione in cui era precedentemente autenticato).
Tuttavia, se la CA può verificare il DN da una richiesta di certificato, allora conosce già il nome, e quindi non ha realmente bisogno del nome dalla richiesta stesso: la CA può inserire il nome corretto nel certificato da solo.
Il formato di richiesta del certificato SPKAC è solo un vecchio formato barebone che presuppone che la CA sappia già tutto, tranne la chiave pubblica. La "sfida" e la "firma" sono funzionalità extra di sicurezza per prevenire alcuni attacchi (ad esempio la firma mi impedisce di richiedere un certificato che contiene la chiave pubblica di qualcun altro).