2)數(shù)字證書生命周期

(1)證書申請

用戶通過支持PKI的應用程序，如Web瀏覽器向CA申請數(shù)字證書的過程，該過程從用戶生成密鑰對（公鑰和私鑰）時開始。

(2)證書生成

一旦用戶請求了證書，CA就根據(jù)其建立的認證策略驗證用戶信息鼉?nèi)绻_定信息有效，則CA創(chuàng)建該證書。

(3)證書存儲

CA在生成用戶證書之后，將通過安全的途徑把證書發(fā)送給用戶，或通知用戶自行下載。數(shù)字證書將保存在用戶計算機的安全空間里。為了防止證書的丟失或損壞，證書持有者應將證書導出并保存在安全的存儲介質(zhì)里，如軟盤、智臺旨卡。

(4)證書發(fā)布

CA在生成用戶證書之后，會把用戶的公鑰發(fā)送到指定的任何資源庫，如內(nèi)部目錄或公用服務器，以方便人們獲得或驗證證書持有者的公鑰。

(5)證書廢止

當發(fā)出證書時，將根據(jù)分發(fā)策略為其配置特定的到期曰。如果需要在該日期之前取消證書，則可以由CA將這一事實發(fā)布和分發(fā)到證書撤銷列表CRL中。CRL是由CA簽名的一組電子文檔，包括了被撤銷證書的唯一標識（證書序列號），CRL為應用程序和其它系統(tǒng)提供了一種檢驗證書有效性的方式。