那么从哪里可以获取自己的密钥对呢?如何交换公钥呢?这就引出了一个权威机构CACertification Authority)。一般来说这是个第三方机构,就像公安局的户政科一样,负责发放证明个人身份的×××。只不过这个机构发放的是数字证书。
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

数字证书颁发过程一般为:用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心(密钥对也可以有CA生成,并通过严格的手段,将私钥部分传递给申请者)。认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。

 

从这个过程可以看出CA需要做很多事:

1.          审查申请者信息,为了确保申请者信息可靠,往往需要申请递送各种×××明文件,并本人到场。

2.               生成密钥对,并将公钥与申请者信息绑定;同时还要遵守严格程序将私钥安全传递给申请者。
3.               当有实体需要验证另一实体的身份时,即有实体请求另一实体公钥时,要找出公钥并响应该请求。
4.               除了这些,CA要维护证书的有效期,处理取消证书申请,并对外公布失效证书。

 

这些事对CA来说是比较沉重的负担,特别是用户量非常大时,所以通常一个PKI体系中会有多个CA,形成认证体系。为了进一步减轻CA的负担,有的PKI体系还引入了RARegistration Authority),即数字证书注册审批机构。RA系统是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核,并向CA提交申请,将CA的反馈通知申请者,同时,对发放的证书完成相应的管理功能,比如银行在颁发数字证书是就承担了RA的职责,负责审查客户的身份,并向CA请求数字证书。
  
 目前的数字证书类型主要包括:个人数字证书、单位数字证书、单位员工数字证书、服务器证书、×××证书、WAP证书、代码签名证书和表单签名证书。

 

随着Internet的普及、各种电子商务活动和电子政务活动的飞速发展,数字证书开始广泛地应用到各个领域之中,目前主要包括:发送安全电子邮件、访问安全站点、网上招标投标、网上签约、网上订购、安全网上公文传送、网上缴费、网上缴税、网上炒股、网上购物和网上报关等。