1.4. 证书生命周期

证书在很多应用程序中使用，从加密电子邮件到访问网站。证书生命周期有两个主要阶段：发布的时间（颁发和注册）以及证书不再有效（续订或撤销）的期间。还可以在其周期内管理证书。将证书提供给其他应用的信息是 发布证书，然后备份密钥对，以便在丢失证书时恢复证书。

发布证书的过程取决于发布证书的 CA 以及将使用它的目的。发出非数字标识形式在类似的方式有所不同。获取库卡的要求与获得驱动程序的许可证不同。同样，不同的 CA 有不同的步骤来发出不同类型的证书。接收证书的要求可以是电子邮件地址或用户名和密码的简单，以汇总文档、后台检查和个人面试。

根据组织的策略，发布证书的过程可能会完全透明，以便用户需要大量用户参与和复杂的程序。通常，发布证书的流程应该非常灵活，因此组织可以根据变化的需求对其进行定制。

与驱动程序的许可证一样，证书指定了一个有效期间的时间。尝试在有效期之前或之后使用证书进行身份验证会失败。管理证书过期和续订是证书管理策略的重要部分。例如，管理员可能希望在证书即将过期时自动获得通知，以便在不中断系统操作的情况下完成适当的续订过程。续订过程可能涉及重复使用相同的公钥对或发布新密钥对。

此外，可能需要在证书过期前撤销证书，例如当员工离开公司或迁移到公司内的不同单元时，可能需要撤销证书。

证书撤销可以通过几种不同方式处理：

验证证书是否存在于目录中: 可以配置服务器，以便身份验证过程检查目录是否存在所呈现的证书。当管理员撤销证书时，证书可以从目录中自动删除，使用该证书的后续身份验证尝试将失败，即使证书在所有其他方面都保持有效。
证书撤销列表(CRL): 撤销的证书列表( CRL )可以定期发布到目录中。CRL 可以作为身份验证过程的一部分进行检查。
实时状态检查: 每当提供证书进行身份验证时，也可以直接检查发出 CA。这个过程有时被称为实时状态检查。
在线证书状态协议: 可以配置在线证书状态协议(OCSP)服务来确定证书的状态。

有关续订证书的详情，请参考第 2.4.2 节 “续订证书”。有关撤销证书的更多信息，包括 CRL 和 OCSP，请参阅第 2.4.4 节 “吊销证书并检查状态”。

返回顶部