国密双秘钥体系的“双”体现在,申请人是有两个证书的,一个是用于认证的证书,一个是用于加密的证书。
1、用于认证的证书的生成:用户自行生成一对公私钥,其中自己保留私钥用于签名,公钥发送给CA机构,请CA来对其签名,生成该用户的签名证书。
2、用于加密的证书的生成:该证书由CA机构从其自身KMC中为用户获取一对公私钥,同时,自己备份这对公私钥。然后,CA将公钥进行签名生成加密证书,CA使用该用户的签名证书将加密私钥、加密证书等进行加密后,返回给用户。
注意:1、CA有用户用于加解密的公私钥对,因此CA是可以解密用户密文的。
2、CA没有用于签名的用户私钥备份,用户签名私钥丢失不能再生,但由于签名证书是公开的,因此其之前签名过的东西依然有效。