密码学中的数字证书生命周期

2)数字证书生命周期

(1)证书申请

用户通过支持PKI的应用程序，如Web浏览器向CA申请数字证书的过程，该过程从用户生成密钥对（公钥和私钥）时开始。

(2)证书生成

一旦用户请求了证书，CA就根据其建立的认证策略验证用户信息鼍如果确定信息有效，则CA创建该证书。

(3)证书存储

CA在生成用户证书之后，将通过安全的途径把证书发送给用户，或通知用户自行下载。数字证书将保存在用户计算机的安全空间里。为了防止证书的丢失或损坏，证书持有者应将证书导出并保存在安全的存储介质里，如软盘、智台旨卡。

(4)证书发布

CA在生成用户证书之后，会把用户的公钥发送到指定的任何资源库，如内部目录或公用服务器，以方便人们获得或验证证书持有者的公钥。

(5)证书废止

当发出证书时，将根据分发策略为其配置特定的到期曰。如果需要在该日期之前取消证书，则可以由CA将这一事实发布和分发到证书撤销列表CRL中。CRL是由CA签名的一组电子文档，包括了被撤销证书的唯一标识（证书序列号），CRL为应用程序和其它系统提供了一种检验证书有效性的方式。