2)數(shù)字證書(shū)生命周期

(1)證書(shū)申請(qǐng)

用戶通過(guò)支持PKI的應(yīng)用程序，如Web瀏覽器向CA申請(qǐng)數(shù)字證書(shū)的過(guò)程，該過(guò)程從用戶生成密鑰對(duì)（公鑰和私鑰）時(shí)開(kāi)始。

(2)證書(shū)生成

一旦用戶請(qǐng)求了證書(shū)，CA就根據(jù)其建立的認(rèn)證策略驗(yàn)證用戶信息鼉?nèi)绻_定信息有效，則CA創(chuàng)建該證書(shū)。

(3)證書(shū)存儲(chǔ)

CA在生成用戶證書(shū)之后，將通過(guò)安全的途徑把證書(shū)發(fā)送給用戶，或通知用戶自行下載。數(shù)字證書(shū)將保存在用戶計(jì)算機(jī)的安全空間里。為了防止證書(shū)的丟失或損壞，證書(shū)持有者應(yīng)將證書(shū)導(dǎo)出并保存在安全的存儲(chǔ)介質(zhì)里，如軟盤(pán)、智臺(tái)旨卡。

(4)證書(shū)發(fā)布

CA在生成用戶證書(shū)之后，會(huì)把用戶的公鑰發(fā)送到指定的任何資源庫(kù)，如內(nèi)部目錄或公用服務(wù)器，以方便人們獲得或驗(yàn)證證書(shū)持有者的公鑰。

(5)證書(shū)廢止

當(dāng)發(fā)出證書(shū)時(shí)，將根據(jù)分發(fā)策略為其配置特定的到期曰。如果需要在該日期之前取消證書(shū)，則可以由CA將這一事實(shí)發(fā)布和分發(fā)到證書(shū)撤銷列表CRL中。CRL是由CA簽名的一組電子文檔，包括了被撤銷證書(shū)的唯一標(biāo)識(shí)（證書(shū)序列號(hào)），CRL為應(yīng)用程序和其它系統(tǒng)提供了一種檢驗(yàn)證書(shū)有效性的方式。