双证书具体技术流程如下:
1.用户CSP产生临时密钥对。
2.用户CSP将临时公钥传递给CA系统。
3.CA向KMC发送密钥申请信息,包括序号、主题、有效期、申请公钥类型和长度、临时公钥等。
4.KMC根据CA机构注册的通信证书验证CA密钥申请的合法性。
5.KMC从备用密钥库查询密钥对。
6.备用密钥库将正式密钥对返回KMC。
7.KMC产生对称密钥。
8.KMC用对称密钥加密正式私钥。
9.KMC用临时公钥加密对称密钥。
10.KMC将正式密钥对用KEK加密后存储到在用密钥库(KEK是对密钥进行安全加密的专用密钥,需要预先设置)。
11.KMC将正式公钥、对称密钥密文(临时公钥加密)、正式私钥密文(对称密钥加密)等返回给CA。
12.CA根据正式公钥产生用户正式公钥证书。
13.CA将正式公钥证书、对称密钥密文(临时公钥加密)、正式私钥密文(对称密钥加密)返回给用户CSP。
14.用户CSP使用临时私钥解密获得对称密钥明文,用对称密钥解密获得正式私钥明文,然后将正式公钥证书和正式私钥导入密码介质。
