如何管理证书和密钥管理？

证书具有一定的生命周期，从发布到分发到取消，它可以过期并更新。当然，认证中的任何数据库都必须得到有效的备份，并为任何可能的情况做好准备。

证书具有一定的生命周期，从发布，分发到取消，它可以过期和更新。当然，必须有效地备份身份验证中的任何数据库，并为任何意外事件做好准备。应为认证中心制定和公布政策，其中规定了证书的有效性，与密钥持有者的密钥对连接的证据，以及为防止雇员受雇但不受信任而采取的措施。认证中心系统应具有最基本的性能和高机密性。在可互操作的公钥体系结构中，受损密钥可能会破坏许多信任链并使特殊用户的安全性消失。访问私钥就像密码保护一样。处理遗忘密码的方法值得认真考虑。除密钥持有者外，其他人不能使用私钥进行访问。用于加密的密钥也需要备份，否则密钥可能丢失或更改，使用此密钥加密的数据也将丢失。但是，数字签名的密钥不能由工具备份，因为如果某人丢失了用于数字签名的私钥，则可以生成新的私钥以使用原始公钥。将密钥交给第三方存储是另一个与密钥备份不同的问题。一般来说，有一个或多个第三方密钥存储工具或部分密钥工具，所有第三方密钥持有者一起可以生成一个完整的工具。另一种更好的方法是定期更新密钥，就像生成公钥/私钥对一样，这也需要CPU周期来更新密钥。更好的方法是错开更新日期。证书管理不是一种直观的机制。它不仅发布数字证书，还建立和维护证书撤销列表（CRL）。如果用户的私钥丢失，或者他被解雇，或者他的工作已经改变，并且不需要访问现在的内容，则必须有办法使原始有效证书无效。 因此，需要一个验证数字证书有效性的过程来检查证书管理器的公钥对证书是否有效，验证证书是否被修改，过期和无效。一个值得注意的问题是CRL的可扩展性。如果有效期太长，CRL将继续延长。这需要更多的计算机资源来搜索它。如果证书更新太快，将导致管理麻烦。证书管理的另一个问题是如何进行交互，或者信任是否可以通过:如果Y信任Z，而X信任Y，那么X能否自动信任Z？问题可归因于推荐认证机制具有通过的事实。性别。 PGP作者PhilZimmermann有一句话:“信赖不是透明的。我有一个朋友，我相信他永远不会撒谎，但他是一个相信总统不撒谎的傻瓜，但显然，我认为总统不会撒谎“网站建设用户是否与用户信任的认证中心以及他不知道的认证中心存在相互信任关系？如果可以获得这种信任链，他们的推广是否可以接受？ X.509标准提供了反向证书，其中包括来自其他证书颁发机构的经过身份验证的密钥，提供了灵活交叉认证的能力，但它没有解决信任链扩展链的识别和实现问题。