Ten požadavek, že podpisový certifikát nemáte používat k ničemu jinému, než podepisování, je realizován především organizačně/legislativně (u kvalifikovaných certifikátů to zakazuje eIDAS). Dále je v certifikátu nastaven příznak, že se může použít pro podepisování, a nejsou tam nastavené jiné příznaky. Jenže tam jednak závisí na tom, zda příslušný software ty příznaky respektuje, jednak není úplně jasné, co ty příznaky přesně znamenají, takže dříve se do certifikátů dávalo příznaků víc, protože bez nich ten certifikát nebyl použitelný v některých programech.
Stát bude pro každého znát veřejný klíč na e-občance, a oprávněným uživatelům (typicky jiným orgánům veřejné správy, ale předpokládá se, že v nějaké omezené míře je budou moci získávat i komerční subjekty – třeba banky, zdravotní pojišťovny atd.) pak k němu sdělí i další údaje ze základních registrů. Veřejný klíč na kartě musí být a musí být dostupný pro ovládací software, nejsem si ale jistý, zda ho ovládací software našich e-občanek umí vyexportovat. Ale používají se standardní zařízení, takže by neměl být velký problém případně certifikát vyexportovat jinak.
Abyste se mohl přihlašovat certifikátem jinam (třeba k MojeID, nebo k datovým schránkám, pokud by nebyly navázané na tu identifikaci občankou), k tomu slouží přihlašovací/šifrovací certifikát, který také můžete na českou e-občanku nahrát. Ten identifikační certifikát na občance je technicky také přihlašovací/šifrovací certifikát, akorát se pro srozumitelnost nazývá jinak. Na české e-občance tedy můžete mít tři typy certifikátů – kvalifikované podepisovací, kvalifikované autentizační a pak ten autentizační certifikát vydaný Ministerstvem vnitra, který se používá pro tu identifikační funkci občanky. Ty komerční certifikáty si ale, pokud chcete, musíte pořídit a zaplatit sám. Teoreticky pro identifikaci vůči známým byste si mohl vytvořit i svůj vlastní autentizační certifikát (je to jen na dohodě, zda mu někdo bude důvěřovat), ten ale podle platných zákonů nesmíte nahrát na českou e-občanku (tam mohou být mimo certifikátů MV jen certifikáty vydané kvalifikovanými certifikačními autoritami).
Technicky se klíče používají stále stejně, vždy jedním klíčem něco zašifrujete a tím druhým to jde rozšifrovat. To se používá i pro podpisy. To, že se k podepisování používají výhradně podpisové certifikáty, a ty se zase nepoužívají k ničemu jinému, je jen organizační opatření, které je v EU zakotvené i v legislativě, a je to podpořené technickými opatřeními, takže vám slušný program nedovolí podpisový certifikát použít k něčemu jinému, než k podpisu.
Identifikační klíč v podstatě jen slouží Ministerstvu vnitra, aby bylo schopné na dálku ověřit, že ta čipová karta, kterou se přihlašujete, je ta, kterou vám vydalo. Kdybyste tím klíčem něco podepsal, z certifikátu nepůjde poznat, že jste to byl vy. Podpisový certifikát také neprokazuje totožnost, je to záruka certifikační autority, že ověřila, že údaje na certifikátu odpovídají totožnosti vlastníka certifikátu. Údaje na certifikátu podle eIDASu ale nestačí k jednoznačnému odlišení osob, např. pokud bude mít otec a syn stejné jméno a adresu trvalého bydliště, podle certifikátů je nerozlišíte, protože na nich není ani datum narození, ani rodné číslo ani nic podobného. To je asi největší nevýhoda certifikátů dle eIDASu.