Associare la chiave pubblica a un certificato con firma digitale di un'autorità di certificazione (CA) designata come CA con root sicura sul server. È possibile acquistare un certificato firmato inoltrando una richiesta di certificato a un provider CA. Il nome del file richiesta certificato predefinito è certreq.arm. Il file richiesta certificato è un file PKCS 10, in formato con codifica Base64.
È possibile creare un nuovo file keystore .kdb e visualizzare l'elenco dei CA (certificate authorities) sicuri designati. Se si utilizza un certificato personale e il firmatario non è in elenco, richiedere un certificato del firmatario all'autorità di certificazione attendibile associata. IBM HTTP Server supporta i seguenti software di autorità di certificazione (CA):