发现:证书生命周期的发现阶段涉及在网络中搜索必须吊销、续订或替换的丢失、过期、泄露或未使用的证书。这是该过程的重要组成部分,因为它会发现证书安全性中的漏洞,并将这些差距传递到监控阶段,从而可以密封这些漏洞。通常,此阶段还处理证书清单,以帮助将来的发现阶段,以及可能发生的任何证书审核。
创建/购买:这是创建证书的阶段。联机用户、组织或设备从证书颁发机构请求证书,其中包含注册用户所需的公钥和其他注册信息。然后,CA 验证给定的信息,如果它是合法的,则创建证书。用于创建证书的证书颁发机构可以由需要证书的组织拥有,也可以由第三方拥有。如果证书是从第三方获得的,则必须从他们那里购买。
安装:证书的安装很简单,但仍然同样重要。证书必须安装在安全但可访问的位置,因为尝试验证证书真实性的用户必须有权访问它。安装证书后,CA 会将策略落实到位,以确保证书的安全性和正确处理。
存储:如前所述,安装证书时,它必须位于安全位置以防止泄露。但是,它不应该太安全,以至于需要读取证书的用户无法访问它。本文档稍后将讨论为存储证书而实施的适当策略和法规。
监视:监视是证书生命周期中最重要的阶段之一。这是一个几乎恒定的阶段,其中证书管理系统(无论是自动的还是手动的)都会监视数字证书的泄露,过期或泄露。“监视”阶段使用在发现阶段创建的清单来跟踪何时应吊销、续订或替换证书。然后,证书管理系统将这些证书移动到下一阶段,该阶段可以是续订、吊销或替换。
续订:当达到证书的到期日期时,将续订证书。这在证书中自然会发生,因为最佳做法是最多不要使用证书超过5年。可以将证书设置为自动续订,也可以保留证书到期日期的列表,并且证书的管理员可以在适当的时间续订。
吊销:如果发现证书已泄露、被盗或以其他方式受到负面影响,则该证书将被吊销。吊销证书后,该证书将放在证书吊销列表 (CRL) 中。此列表可确保其他 CA 知道这不再是有效的证书。
替换:当用户从支付证书切换到创建自己的公钥基础结构 (PKI) 和 CA 时,证书将被替换。这很少这样做,因为从原始提供商那里续订证书比替换该证书要容易得多。