PKCS#10 以及证书颁发过程

  

• P10证书一般是一个base64文件，实际上他不是一张真正的证书应该是一段可以向CA申请证书的P10请求，该请求一般是通过硬件生成密钥对后，将私钥单独存放，但是将公钥放入p10中，CA受到该p10请求后，可以校验，并根据p10中的信息制作一张没有私钥的公钥证书。

　　1、单证书的签发

用户填写信息注册（或者由RA的业务操作员注册用户）。
用户信息传递到RA。
RA审核通过。
用户请求发证。
RA审核通过。
用户签发证书请求。
RA把用户信息传递到CA。
CA到KMC中取密钥对，（密钥对由加密机生成，生成的密钥对）。
CA把用户信息和从KMC中取到的公钥制作成证书。
CA用自己的私钥给用户证书签名。
CA把自己的用户证书和用户的私钥通过SSL通路传递给RA。
用户从RA下载证书。
用户安装证书。

　　

　　2、双证书的签发

　　　　签名证书的签发

用户填写信息注册（或者由RA的业务操作员注册用户）。
用户本地ACTIVE控件调用IE中的加密机生成签名证书的密钥对。
用户填写的信息和签名证书的公钥传递给RA。
RA把用户信息和公钥传递给CA。
CA根据用户信息和公钥制作成证书
CA用自己的私钥给用户证书签名。
CA把生成的用户证书传递给RA。
用户从RA下载证书。
用户安装签名证书。

　　

　　　　加密证书的签发

用户把用户的签名证书传递到RA。
RA用户的签名证书传递到CA。
CA到KMC中取密钥对，（密钥对由加密机生成，生成的密钥对）。
CA把从签名证书中得到的用户信息和从KMC中取到的公钥制作成证书。
CA用自己的私钥给用户证书签名。
CA调用签名证书的公钥给加密证书和用户加密证书的私钥加密
CA把加密之后的加密证书和加密证书的私钥传递给RA。
用户从RA加密之后的加密证书和加密证书的私钥。
用户在本地调用签名证书的私钥解密加密证书和加密证书的私钥。
用户安装加密证书。