8.7 終端實體初始化

和CA一樣，終端實體也需要初始化。終端實體的初始化至少有兩個步驟：

—— 獲得PKI信息；

—— 對根CA公鑰的帶外驗證。

（可能還會有別的步驟，包括檢索信任條件信息和對別的CA公鑰的帶外驗證。）

需要獲得的信息：

—— 當前根CA的公鑰；

——（假如認證CA不是根CA）包括適當的撤銷列表的從根CA到認證CA以及適當的撤銷列表的認證路徑；

—— 認證CA支持的每一種相關應用的算法和算法變量。

為了能產生一個成功的認證請求可能需要一些附加的信息（例如：支持的擴展或者CA策略信息）。然而，為了簡單化我們不強制終端實體通過PKI消息獲得這些信息。最終的結果有可能導致一些認證請求的失敗（例如，如果終端實體想產生自己的加密密鑰但是CA不允許）。

需要的信息可以按照8.5所描述的來獲得。

終端實體必須安全地持有根CA的公鑰。為了保證安全，可以通過一些安全的”帶外”方法給終端實體提供CA的證書指紋。這樣終端實體就可以安全地使用CA的證書。詳見8.1。

本文章首發在網安wangan.com 網站上。