Generování žádosti o certikát je snadné a poměrně přímočaré. Většinou se generuje pár klíčů, jeden soukromý a jeden veřejný. Ten veřejný, společně s dalšími informacemi, tvoří žádost o certifikát, který se pošle na autoritu a ta jej podepíše (podepíše právě ty další informace jako common name apod.). I když se to nedoporučuje, jeden soukromý klíč může sloužit pro více certifikátů.
Soukromý klíč a podepsaný certifikát tak tvoří nerozlučný pár, jeden bez druhého je k ničemu. Je tedy nutno ověřit, zda daný certifikát (nebo i více certifikátů jednoho soukromého klíče) a soukromý klíč patří k sobě. Je vhodné to udělat před každou instalací nového páru certifikátu a klíče do serveru, protože pokud vzájemně nesouhlasí (což se při velkém počtu certifikátů a klíčů může snadno stát, obzvláště u autorit, které certifikáty pojmenovávají svým interním seriovým číslem a nikoliv podle common name), Apache Webserver po reloadu už nenaběhne a zbytečně se tak způsobí nedostupnost všech hostovaných webů.
Tohle je taková drobná nepříjemnost pro administátora. SSL pro Apache Webserver je přídavný modul, samotný Apache s certifikáty nepracuje. Ostatně SSL modulů s různou funkcionalitou a podporovanými protokoly, zejména u TLS, je vícero. Proto ani příkaz configtest nesrovnalost v certifikátech neodhalí. Takže, po neúspěšném startu Apache (kterému nenastartoval požadovaný modul mod_ssl), je nutné prohledat error log. Tam je to sice poměrně snadno nalezitelné, ale weby jsou nějakou tu minutku nedostupné.
Pár klíče a certifikátu lze snadno prověřit pomocí dvojice příkazů openssl, oba vypisují modul klíče (modul je společná část obou klíčů, viz generování klíčů v RSA).
Modul z certifikátu:
$ openssl x509 -in www.domena.cz.crt -noout -modulus Modulus=C59385291A1A9C063B9E...
Modul ze soukromého klíče:
$ openssl rsa -in www.domena.cz.key -noout -modulus Modulus=C59385291A1A9C063B9E...
Pokud jsou moduly stejné, jedná se platný pár soukromého klíče a certifikátu.