5.4 PKI管理操作

圖1描述了PKI管理操作所定義的各個實體間的關系。可以沿著字母標明的線路發送PKI消息。

在上層，各種PKI操作可以按下列方式分組：

a) CA的建立。當建立一個新的CA時，需要完成一些必要的操作（例如：發布初始CRL，導出CA公鑰）。

b) 終端實體初始化：包括導入根CA公鑰，以及獲得PKI管理實體所支持的可選項信息。

c) 認證：各種操作都將導致創建新的證書：

1) 初始注冊和認證：終端實體在CA為它簽發證書之前第一次向CA或RA表明自己的身份。這一過程成功時的最終結果是CA為終端實體的公鑰簽發證書，并將該證書返回給終端實體和/或將該證書發布到公共的數據倉庫中。這一過程通常包括多個“步驟”，還可能包括終端實體設施的初始化過程。例如，終端實體設施必須能夠安全的導入CA公鑰，以用來驗證證書路徑。此外，終端實體通常還需要導入自己的密鑰對。

2) 密鑰對更新：任何密鑰對都需要定期更新（即用新的密鑰對替換舊的密鑰對），因此需要簽發一個新的證書。

3) 證書更新：由于證書會過期，如果其它相關信息沒有變化，那么證書就可以被“刷新”。

4) CA密鑰對更新：同終端實體一樣，CA密鑰對也需要定期更新，但需要不同的機制。

5) 交叉認證請求：一個CA請求另一個CA簽發一個交叉證書。“交叉證書”的主體CA與簽發者CA完全不同，主體公鑰信息(SubjectPublicKeyInfo)字段包含著驗證密鑰（即該證書是為主體CA的簽名密鑰對簽發的）。交叉證書細致的區分時使用下面的術語：“域間交叉證書” —— 如果交叉證書的主體CA和簽發者CA屬于不同的管理域；其它的交叉證書則稱作“域內交叉證書”。

注1：上面所定義的“交叉證書”與X.509中定義的“CA證書”是并列的。注意不要把“交叉證書”同X.509中的“cACertificate”屬性相混淆，它們之間沒有聯系。

注2：除非特別說明，否則一般認為術語“交叉證書”指的就是“域間交叉證書”。

注3：交叉證書的簽發可以是相互的（但并非必須這樣做）；換句話說，兩個CA可能彼此為對方簽發交叉證書。

6) 交叉證書更新：與普通證書更新類似，不同之處就在于它操作的是交叉證書。

d) 證書/CRL搜索操作：某些PKI管理操作將導致發布證書或CRL。

1) 證書發布：產生證書之后，就需要通過一些方法發布這些證書。PKIX中定義的方法可以是7.3.13~7.3.16中規定的方法，或者是RFC2559、 RFC2585（PKIX系列規范的“操作協議”方案）中描述的其它方法（例如：LDAP）。

2) CRL發布：與證書發布類似。

e) 恢復操作：當一個PKI實體“丟失”它的PSE時，需要通過某些PKI操作完成恢復工作。

密鑰對恢復：作為可選操作，用戶密鑰資料（例如用戶的解密密鑰）可以由CA、RA或與CA或RA相關的密鑰備份系統進行備份。如果一個實體需要恢復它已經備份的密鑰資料（例如忘記了私鑰保護密碼或丟失了密鑰鏈文件），就需要一個支持密鑰恢復的協議消息。

f) 撤銷操作：某些PKI操作將需要創建新的CRL條目或新的CRL。

撤銷請求：一個經過授權的人向CA發出異常情況警告并要求撤銷證書。

g) PSE操作：PSE操作（例如轉移PSE、更改口令等）的定義超出了本標準的范圍，這里我們還是定義了一個PKI消息（CertRepMessage），它可以作為該操作的基礎。

注： 在線協議并非是實現以上操作的唯一途徑。對任何一個操作來說，離線方法可以達到同樣的效果，本標準也并不強制使用在線協議。例如：當使用硬件介質時，很多操作都通過物理介質的傳送來完成。

后面將定義一組支持以上操作的標準消息。關于在不同環境中傳送這些消息的傳輸協議（基于文件的、在線、E-mail和WWW）的定義，已經超出了本標準的范圍，將在其它文檔中單獨說明。