6.2 初始注冊/認證

終端實體的初始化注冊和認證有很多種方案。由于CA執行的策略各不相同，并且終端實體的類型也有所不同，因此沒有一種方案能適應所有的環境。

初始化注冊前，終端實體與PKI還沒有任何的聯系。當終端實體已經擁有認證過的密鑰對時，就可以進行簡化或選擇其它的方案。

以下對本標準支持的初始化注冊和認證方案進行分類。方案中一部分為強制性的，一部分為可選擇的。強制性的方案能夠覆蓋到大多數的實際應用，而可選方案滿足那些不是很常用的應用。這樣，在系統的靈活性和系統實現的簡便上進行了折衷。

6.2.1　所用的準則

6.2.1.1　注冊/認證的啟動

就產生的PKI消息而言，初始化注冊/認證的啟動發生在產生第一條與終端實體相關的PKI消息的地點。可能的場所是在終端實體，RA或者CA。

6.2.1.2　終端實體消息的最初認證

終端實體產生的請求證書的在線消息認證與否都可以，但要求對最初終端實體發給PKI(CA/RA)的任何消息進行認證。

在本標準中，PKI（CA/RA）通過帶外方式向終端實體發放秘密數據（初始認證密鑰）和參考數據（用于識別密鑰）來完成。然后初始認證密鑰就可以用來保護相關的PKI消息了。

因此，通過判斷在線消息是否經過初始鑒別從而對初始注冊/認證方案進行分類。

注1：本標準不討論對PKI系統發給終端實體的消息的認證，因為在所有情況下，在終端實體設施安裝根CA的公鑰或基于初始認證密鑰都可以實現這一認證。

注2：如果終端實體發送的消息通過帶外方式被鑒別，那么可以認為初始注冊/認證流程是安全的。

6.2.1.3　密鑰產生的地點

在本標準中,認為“密鑰產生”的地點是密鑰（無論是公鑰還是私鑰）第一次在PKI消息中出現的地方。注意，這不排除有一個密鑰集中產生的服務，密鑰可以在其它地方產生然后使用一個（自定義的或者標準的）密鑰產生請求/響應協議（該協議不在本標準的討論范圍之內）導入到終端實體、RA或CA中。

密鑰產生的地點有三種可能：終端實體、RA或者CA。

6.2.1.4　成功認證的確認

在為一個終端實體創建初始證書以后,通過讓終端實體顯示確認成功地接收到了包含證書（或表明證書已生成）的消息，從而可以得到附加的保證。當然，這個確認消息必須受到保護（通過初始認證密鑰或者其它方式）。

這又提供了兩種可能性:確認的或者未確認的。

6.2.2　強制的方案

上面的標準考慮到了大多數的初始注冊/認證方案。要求符合本標準的CA設施、RA設施和終端實體設施必須支持下面的第二種方案。如果需要，任何實體還可以支持其它的方案。

6.2.2.1　集中方案

按照上面的分類標準，這種方案可能是最簡單的：

—— 啟動發生在進行認證的CA；

—— 不要求在線消息的認證；

—— 密鑰由進行認證的CA產生(見 6.2.1.3)；

—— 不要求確認消息。

從消息流的角度來看，本方案意味著只要求一個由CA發送給終端實體的消息。這個消息必須包含終端實體的全部PSE信息。該消息使用加密傳輸，通過帶外方式通知終端實體（如用電話通知消息的保護口令），使終端實體認證并解密接收到的消息。

6.2.2.2　基本認證方案

按照上面的分類標準，本方案如下：

—— 啟動發生在終端實體；

—— 要求進行消息認證；

—— 密鑰由終端實體產生(見8.2.1.3)；

—— 要求確認消息。

從消息流的角度來看，基本認證方案見圖2：

在驗證證書確認消息失敗的情況下，如果新簽發的證書已經發布或者可以由其它的方式獲得，那么CA/RA必須撤銷該證書。