1.5. 密钥管理

在发布证书之前，必须生成包含证书的公钥，并且必须生成对应的私钥。有时，为签名操作发布单个个人证书和密钥对以及加密操作的另一个证书和密钥对可能很有用。单独的签名和加密证书只在本地机器中保留私有签名密钥，从而提供最大非填充。这也有助于在用户丢失原始密钥或离开公司时检索私钥在一些中央位置备份私钥。

密钥可以由客户端软件生成，或者由 CA 集中管理并通过 LDAP 目录分发到用户。与任一方法相关的成本。本地密钥生成提供了最大的非排期，但可能涉及用户对发出过程进行更多的参与。灵活的关键管理功能对于大多数组织至关重要。

密钥恢复，或者在明确定义的条件下检索加密密钥备份的能力可能是证书管理的一个重要部分，具体取决于组织如何使用证书。在某些 PKI 设置中，必须先同意一些授权人员，然后才能恢复加密密钥，以确保密钥仅恢复给授权部的合法所有者。当信息加密时，可能需要恢复密钥，且只能由丢失的密钥解密。