12.4 用戶密鑰恢復流程

a)客戶向RA提出密鑰恢復請求，RA業務操作員審核客戶的請求，若拒絕則告知客戶失敗原因，若通過則使用密碼硬件（如密碼設備或智能密碼鑰匙）為客戶生成新的簽名密鑰對。RA業務操作員把密鑰恢復請求發給CA系統。
b)CA系統在簽名密鑰對的基礎上為客戶生成簽名數字證書，RA業務操作員將簽名證書下載并置入安全載體（如智能密碼鑰匙）。通常簽名密鑰對是在安全載體（如智能密鑰鑰匙）中生成，其內部已保存有簽名密鑰對。若簽名密鑰對不是在安全載體（如智能密鑰鑰匙）中生成，則需通過密鑰對保護方式將加密的簽名密鑰對導入到安全載體中，密鑰對保護方式參考GB/T BBBB 《智能密碼鑰匙密碼應用接口規范》6.4.10節。
c)CA系統向密鑰管理中心提交用戶的簽名證書公鑰，并申請恢復加密密鑰對中的私鑰。
d)密鑰管理中心業務操作員從在用庫中取出要恢復的加密密鑰對，如果使用的證書基于SM2算法，則使用SM2加密密鑰對保護結構數據格式把待恢復的密鑰對發送給RA業務操作員。若密鑰恢復申請不通過則把拒絕原因發送給RA業務操作員。SM2加密密鑰對保護結構數據格式參見GB/T BBBB 《智能密碼鑰匙密碼應用接口規范》6.4.10節。
e)RA業務操作員進行證書查詢，找到加密密鑰對對應的加密數字證書，把加密證書及對應的私鑰導入安全載體（如智能密碼鑰匙）中。注意客戶原有的加密數字證書可繼續使用，無需重新簽發。