5.3 注冊機構（RA）

5.3.1　概述

RA保證請求證書的實體的身份。RA可以通過要求實體用物理令牌來和RA進行物理上的接觸或過通過帶外機制來驗證身份。當實體物理上接觸RA時，RA也要通過驗證一個被簽名的消息來驗證它們擁有與公鑰相應的私鑰材料（見6.6.2）。
RA應該驗證實體擁有一個完整的密鑰對。在密鑰對和實體身份被驗證之后，RA簽署并發送一個電子證書請求給相應的CA。
沒有與RA進行過物理接觸的證書請求者，在進行證書請求時，必須具有RA提供給他的認證信息。這一信息用于實體在自我注冊請求中向CA證明自己的身份。本標準不對實現自我注冊請求的帶外事務的格式和內容進行規定。
RA可以對CA授權它們管理的實體證書請求證書撤銷。RevReq的格式在6.6.7中定義。RA功能可以與CA在一起也可以在一個不同的設施中執行。

5.3.2　與互操作性有關的RA功能要求

RA應該執行下列功能：
·　接受和驗證證書請求；
·　向CA發送證書請求；
·　從資料庫檢索證書和CRL；
·　產生證書撤銷請求。
RA應該能夠連同CA的證書一起把新簽署的證書發給證書持有者。

5.3.3　事務集合

RA所用電子事務能夠實現終端實體證書的請求、發送和撤銷，以及為了驗證簽名而從資料庫中檢索證書和CRL。下面將給出這些事務的一個概括；它們將在6.6中具體地描述。
RA接收來自潛在證書持有者的CertReq格式的證書請求。CertReq消息被潛在證書持有者在PKIProtection結構中所簽署。在審查了請求者的憑證并確認該潛在證書持有者擁有相應的私鑰之后，RA抽取公鑰信息并且用RA的名字和簽名建立一個新的CertReq消息。RA把該消息發送給CA。RA應該可以向證書持有者提供該CA的證書。
RA可以從CA接收CertRep消息。如果證書請求被拒絕，RA將審查從CA發來的錯誤代碼并可能會發送一個新的請求。如果一個證書請求被接受了，RA可以向證書持有者提供新的證書。
RA應該在不再擁有它們自己私鑰的證書持有者或證書持有者所在組織的要求下，產生撤銷請求。通過簽署這個請求，RA保證請求者的身份。RA應該可以產生RevReq消息，包括證書序列號或證書持有者的可辨別名。這個RevReq消息應該被一個RA所簽署。CA應該用RevRep消息回應RA。
這個消息應該包括狀態和失敗信息，并且可以包括關于被撤銷證書的附加細節。如果證書被撤銷了，RA應該提供這個信息給請求者。如果請求被拒絕了，RA將審查錯誤代碼并且可能再產生該請求。