O CSR ( C Certificado S R equest) é o que você envia para a Autoridade de Certificação para solicitar que eles emitam um certificado . É apenas uma cópia da chave pública e de algumas informações auxiliares.
Enviar o CSR sem o seu cliente dar um beijo de aprovação não afeta a funcionalidade do certificado assinado e o par de chaves pública / privada (embora, se as informações na solicitação estiverem incorretas, por exemplo, se houver um endereço antigo para o cliente) eles podem ter exceção a isso e como você ter o erro corrigido).
Muitas empresas oferecem o que o seu cara fez como um serviço (gerenciando o processo de renovação do certificado SSL e enviando a CA em nome do cliente), especialmente se o cliente não é técnico e seria intimidado pelo processo de envio. CSR para uma autoridade de certificação a ser assinado. Pode ser uma grande economia de tempo se, de outra forma, você tivesse que segurar a mão do seu cliente durante o processo.
Com relação a quem paga a fatura, se o contrato diz que o CSR precisa ir até o cliente para aprovação, você errou. Discuta com o cliente, mas esteja preparado para que eles se recusem a pagar por seu erro (isso seria um pouco irracional na minha opinião, e se eles se recusassem a pagar com base em que você não deveria ter feito isso eu não instale o certificado: refaça o processo seguindo o procedimento e coma a perda do certificado extra que você terá que jogar fora.
Se o seu contrato não exigir que o cliente aprove o CSR, sugiro que você fature ao cliente o custo da renovação como um serviço que você realizou para ele.
Se você não tiver um contrato, fature-os pelo serviço AND redigir um contrato para os serviços a serem fornecidos: -)
Se este não for um serviço que você deseja fornecer no futuro, você deve deixar claro para seu cliente que ele foi feito por engano e, no futuro, o CSR será enviado para que ele seja encaminhado para a CA de seus clientes. escolha para assinar.