2)數(shù)字證書生命周期

(1)證書申請(qǐng)

用戶通過(guò)支持PKI的應(yīng)用程序，如Web瀏覽器向CA申請(qǐng)數(shù)字證書的過(guò)程，該過(guò)程從用戶生成密鑰對(duì)（公鑰和私鑰）時(shí)開始。

(2)證書生成

一旦用戶請(qǐng)求了證書，CA就根據(jù)其建立的認(rèn)證策略驗(yàn)證用戶信息鼉?nèi)绻_定信息有效，則CA創(chuàng)建該證書。

(3)證書存儲(chǔ)

CA在生成用戶證書之后，將通過(guò)安全的途徑把證書發(fā)送給用戶，或通知用戶自行下載。數(shù)字證書將保存在用戶計(jì)算機(jī)的安全空間里。為了防止證書的丟失或損壞，證書持有者應(yīng)將證書導(dǎo)出并保存在安全的存儲(chǔ)介質(zhì)里，如軟盤、智臺(tái)旨卡。

(4)證書發(fā)布

CA在生成用戶證書之后，會(huì)把用戶的公鑰發(fā)送到指定的任何資源庫(kù)，如內(nèi)部目錄或公用服務(wù)器，以方便人們獲得或驗(yàn)證證書持有者的公鑰。

(5)證書廢止

當(dāng)發(fā)出證書時(shí)，將根據(jù)分發(fā)策略為其配置特定的到期曰。如果需要在該日期之前取消證書，則可以由CA將這一事實(shí)發(fā)布和分發(fā)到證書撤銷列表CRL中。CRL是由CA簽名的一組電子文檔，包括了被撤銷證書的唯一標(biāo)識(shí)（證書序列號(hào)），CRL為應(yīng)用程序和其它系統(tǒng)提供了一種檢驗(yàn)證書有效性的方式。