Para obtener un certificado firmado, envía a la CA una C ertificate S igning R equest , que es algo así como un certificado incompleto. La CA genera un certificado para firmar, utilizando tanta o poca información de la CSR como la CA decide incluir, según las políticas de la CA, el tipo de certificado que compró, etc. El certificado generado siempre incluye la clave pública de la CSR, sin embargo, y generalmente también contiene el mismo nombre de la CSR.
Tanto el certificado como el CSR están definidos por la especificación X.509, por lo que decir "x509" no limita las cosas más allá de eso.
Pero como regla general, lo único que envía a la CA es la CSR. No necesitan nada más y no tienen ningún uso para nada más. Ciertamente, no les envía la clave privada; todo el proceso de firma se construyó alrededor de la idea de que nunca comparte la clave privada con nadie . La clave privada se crea al mismo tiempo que la CSR, pero se mantiene privada, mientras que la CSR se envía a la CA, que le devuelve un certificado a cambio. La clave pública que figura en el certificado coincidirá con la clave privada que creó cuando creó la CSR.