Una solicitud de certificado es "solo" un token que solicita que una CA emita un certificado con el contenido establecido como la CA considere adecuado . Se supone que la CA debe completar el certificado con la información que parcialmente obtiene del solicitante, pero también de otras fuentes. En cualquier caso, incluso si una solicitud PKCS # 10 permite especificar un DN completo, la CA no está obligada a emitir el certificado con exactamente ese DN. Por ejemplo, ninguna CA sana me emitirá un certificado, con el DN "CN = Barack Obama, O = Gobierno de EE. UU., C = EE. UU.". Puede emitir un certificado con un DN "CN = Thomas Pornin", pero solo porque la AC "sabe" mi nombre por algún mecanismo fuera de banda (por ejemplo, la solicitud ha llegado a través de un túnel SSL, en una sesión en la que fue autenticado previamente).
Sin embargo, si la CA puede verificar el DN de una solicitud de certificado, entonces ya sabe el nombre y, por lo tanto, realmente no necesita el nombre de la solicitud En sí: la CA puede poner el nombre correcto en el certificado por sí mismo.
El formato de solicitud de certificado SPKAC es solo un formato barebone antiguo que asume que la CA ya lo sabe todo, excepto la clave pública. El "desafío" y la "firma" son funciones de seguridad adicionales para evitar algunos ataques (por ejemplo, la firma me impide solicitar un certificado que contenga la clave pública de otra persona).