A kriptográfiai szolgáltatók hitelesítést, kódolást és titkosítási szolgáltatásokat biztosítanak, amelyeket a Windows-alapú alkalmazások a Microsoft kriptográfiai alkalmazásprogramozási felületén (CryptoAPI) keresztül érhetnek el. Mindegyik kriptográfiai szolgáltató más-más formában valósítja meg a CryptoAPI felületet. Némelyik erősebb titkosítási algoritmusokat biztosít, míg mások hardverelemeket, például intelligens kártyákat használnak.
Amikor új tanúsítványkérelmet hoz létre, a kérelemben található információ először a kérelmező programtól a CryptoAPI alkalmazásprogramozási felülethez lesz továbbítva. A CryptoAPI a megfelelő adatokat a számítógépre vagy a számítógép által elérhető eszközre telepített kriptográfiai szolgáltatóhoz továbbítja. Amennyiben a kriptográfiai szolgáltató szoftveralapú, úgy az a számítógépén generál egy nyilvános és egy titkos kulcsot, amelyekre gyakran hivatkoznak kulcspárként is. Amennyiben a kriptográfiai szolgáltató hardveralapú, mint például egy intelligens kártya kriptográfiai szolgáltatója, egy hardverelemet utasít a kulcspár generálására.
A kulcsok generálása után egy szoftveralapú kriptográfiai szolgáltató titkosítja és biztosítja a titkos kulcsot. Egy intelligens kártya típusú kriptográfiai szolgáltató a titkos kulcsot egy intelligens kártyán tárolja. Ezután az intelligens kártya vezérli a kulcsokhoz való hozzáférést.
A kártya átküldi a nyilvános kulcsot a hitelesítésszolgáltatóhoz a tanúsítványigénylő információival együtt. Miután a hitelesítésszolgáltató a házirendjének megfelelően ellenőrizte a tanúsítványkérelmet, a saját titkos kulcsának segítségével digitális aláírást helyez el a tanúsítványon, majd kiállítja a tanúsítványt a kérelmező részére. A hitelesítésszolgáltató bemutatja a tanúsítványt a tanúsítvány kérelmezőjének, és felajánlja a tanúsítvány telepítését a számítógép vagy hardvereszköz megfelelő tanúsítványtárolójába.
További információt a Tanúsítvány igénylése és az Irányelvek az alternatív aláírás-formátumok használatához című témakörben talál.