Te gebruiken certificaat en attributen

Voor het tekenen van het Mandaattoken wordt het handtekeningcertificaat van de persoonlijke UZI-pas gebruikt. Dit certificaat bevat een RSA publieke sleutel. Met de privé sleutel wordt de digitale handtekening gegenereerd. Voor de technische context en het feitelijk genereren van de digitale handtekening met een UZI-pas wordt verwezen naar respectievelijk Bijlage B en Bijlage C uit het document IH Berichtauthenticatie met UZI-Pas [UZI berichttoken] met dien verstande dat in het mandaattoken dus het handtekeningcertificaat Technisch dus het certificaat met keyUsage non-repudiation (0x40). wordt gebruikt in plaats van het in de bijlagen vermelde authenticatiecertificaat.
Om de digitale handtekening bij de ZIM te verifiëren, moet de ontvanger over de bijbehorende publieke sleutel beschikken, zie [IH tokens generiek]. Voor verificatie is gekozen door een verwijzing naar het handtekeningcertificaat in het SAML mandaattoken als KeyInfo mee te zenden; de ontvanger moet deze dan met bijvoorbeeld het LDAP protocol ophalen, zie ook [IH tokens generiek].