5.4 證書持有者規范

5.4.1　概述

PKI為證書持有者提供證書管理功能。證書持有者包括CAs、RAs和其它的終端實體。終端實體可能是個人用戶和計算機系統（例如路由器和防火墻），也可能是應用程序（CAs和RAs除外）。

5.4.2　與互操作性相關的PKI證書持有者功能要求

證書持有者的功能：
·　生成簽名；
·　生成證書請求；
·　請求證書撤銷；
·　請求證書更新（可選項）。

5.4.3　證書持有者事務集合

證書持有者的事務能使證書持有者請求新的證書，以及撤銷當前持有的證書。所有的證書持有者事務都由發放證書的CA及其CA授權的RA執行。
證書持有者應該能夠請求撤銷他們自己的證書。這個事務由CA執行，允許證書持有者簽署他們的證書撤銷請求。證書持有者為每個他們希望撤銷的證書產生一個RevReq消息并發送給CA。RevReq消息要包括撤銷原因。CA產生RevRep消息并返還給證書持有者。這個事務過程在6.6.7中有詳細描述。
可選的，證書持有者能夠實現證書更新請求。這個事務由CA執行，允許證書持有者簽署自己的證書請求（不需要RA驗證其身份）。CA可以支持該項事務，但是它的具體使用由認證業務說明決定。在不與RA交互的情況下請求一個新的證書，證書持有者產生一個CertReq消息，并且使用新的和當前的私鑰進行簽名。CA產生CertRep消息，如果請求成功，就包含一個新的證書。如果請求被拒絕，就包含錯誤代碼。
證書持有者能夠實現自我注冊的證書請求。
證書持有者也可以實現加密證書請求。在此事務中，證書持有者產生一個證書請求，說明希望的密鑰管理算法，并用一個有效的簽名密鑰對該請求簽名。CA響應一個證書和加了密的私鑰或是錯誤代碼。