Zertifikate zu digitalen Signaturen werden nur für eine bestimmte, feste Zeit ausgestellt.
Das Zertifikat enthält neben den Angaben zum Inhaber auch den öffentlichen Schlüssel zu einem dem Inhaber gehörenden privaten Schlüssel.
Nach Ende der Zertifikatslaufzeit kann zum vorhandenen privaten Schlüssel, der kein Ablaufdatum hat, ein neues Zertifikat ausgestellt werden. Dies erfolgt durch Erzeugen eines Certificate Signing Request (CSR) aus dem privaten Schlüssel. Dieses neue Zertifikat kann dieselben Inhaberangaben enthalten, als das bisherige – abgelaufene – Zertifikat.
Steht der private Schlüssel nicht mehr zur Verfügung, weil er zum Beispiel in einem Keystore so abgespeichert wurde, dass er nicht mehr ausgelesen werden kann, oder hat der Inhaber keine Möglichkeit einen CSR zu erzeugen, dann müssen sowohl der private Schlüssel, als auch das Zertifikat neu ausgestellt werden.