5.3 PKI管理要求

PKI管理的要求如下：

a) PKI管理必須符合GB/T 16264.8-200X及相關修訂補篇（指證書擴展項）；

b) PKI管理必須符合PKI系列草案的其它標準；

c) 必須能夠在不影響其它密鑰對的前提下定期地更新任意密鑰對；

d) 為了使調整簡單易行，在PKI管理協議中應盡可能少的使用加密；

e) PKI管理協議必須允許使用不同的工業標準加密算法。這意味著，原則上，任何給定的CA、RA或終端實體，可以使用任何適合其所擁有的密鑰對的算法；

f) PKI管理協議一定不能排除密鑰對由相關的終端實體或RA或CA產生。密鑰產生也可以在其它地方完成，出于PKI管理的目的，我們可以認為密鑰生成發生在密鑰第一次出現在的地方：終端實體、RA或CA；

g) PKI管理協議必須能夠支持相關終端實體或RA、CA進行證書發布。在不同實現和不同的環境下可以采用上面任何一種方法；

h) PKI管理協議必須允許通過認證的終端實體請求作廢證書，以簽發CRL。這一功能必須能夠盡可能防止拒絕服務攻擊；

i) PKI管理協議必須能夠使用各種不同的傳輸機制，特別是郵件傳輸協議、HTTP、TCP/IP和FTP；

j) 簽發證書的最終決定權屬于CA。RA或終端實體都不能假定CA簽發出來的證書符合它們的全部要求。CA可以根據其運營策略，改變一個證書字段的值，或者添加、刪除、修改證書擴展項。換句話說，所有的PKI實體（終端實體、RA、CA）都必須能夠處理那些與其請求不一致的證書響應（例如：CA可能會縮短證書有效期）。CA策略可能作出規定，在證書請求者檢查并接受新簽發的證書之前，CA機構不能發布或分發該證書（通常使用證書確認消息完成這一功能）；

k) PKI管理協議必須能夠支持未泄密的CA密鑰對的更新（即CA密鑰更新）。如果CA發生密鑰泄露，那么該CA所轄的全部實體都必須重新進行初始化操作。在CA密鑰更新以后，PSE中包含CA新公鑰的終端實體，必須仍然能夠驗證使用舊的CA公鑰能夠驗證的證書。直接信任舊的CA密鑰對的終端實體，也必須能夠驗證新的CA私鑰所簽發的證書；

l) 在某些實現或情況下，RA的功能可能會由CA來承擔。PKI管理協議的設計，必須滿足下面的條件：終端實體不管與CA還是與RA通信都應該使用相同的協議；

m) 當終端實體發出的證書請求帶有公鑰時，必須能夠證明擁有相應的私鑰。完成此項工作可以用不同方法，究竟采用哪一種取決于認證請求的類型。關于證書管理協議消息中定義的帶內方法完成以上工作的詳細內容見6.3。