PKI的操作功能

1）产生、验证和分发密钥

2）用户自己产生密钥对

3）CA为用户产生密钥对

4）签名和验证

5）证书的获取

•  发送者发送签名信息时，附加发送自己的证书；

•  单独发送证书信息的通道；

•  可从发布证书的目录服务器获得；

•  从证书的相关实体(如RA)处获得。

6）验证证书

验证证书的过程是迭代寻找证书链中下一个证书和它相应的上级CA证书。在使用每个证书前，必须检查相应的CRL(对用户来说这种在线的检查是透明的)。

7）保存证书

保存证书是指PKI实体在本地储存证书，以减少在PKI体系中获得证书的时间，并提高证书签名的效率。

8）本地保存证书的获取

CA证书可以集中存放，也可分布式存放，即可从本地保存的证书中获取证书。用户可以选择在每次使用前来检查最新发布的CRL，以确保发送者的证书未被作废；用户也可选择定期证实本地证书在存储区中的有效性。

9）证书废止的申请

当PKI中某实体的私钥被泄漏时，被泄密的私钥所对应的公钥证书应被作废。

10）密钥的恢复

密钥恢复就是将终端用户因为某种原因而丢失的加密密钥予以恢复。

11）CRL的获取

每一个CA均可以产生CRL，CRL可以定期产生也可以在每次有证书作废请求后，实时产生，CA应将其产生的CRL及时发布到目录服务器上去。

12）密钥更新

在密钥泄密的情况下，将产生新的密钥和新的证书。但在密钥没被泄漏的情况下，密钥也应该定时更换。

13）审计

14）存档