CA如何发送数字证书？

Question

我想知道，在批准证书签署申请后，证书颁发机构是否通过将数字证书转换为PEM格式并通过电子邮件将其作为.crt文件发送给申请人，还是以其他方式发送数字证书？

Answer 1

有一个用于与CA交换消息的标准，但在实践中很少实现。与许多远程客户打交道的现有商业CA倾向于通过一些自定义接口(通常是基于Web的)来组织证书颁发过程，而证书发送就是该过程的一部分。在实践中采用了各种方法，可能结合在一起：

• 通过电子邮件发送证书。
• 通过HTTP向用户提供证书(在某些网页中显示的URL，甚至通过电子邮件发送)。
• CA和运行在用户机器上的CA控制组件之间的自定义协议(Applet，ActiveX控件，完整的“管理控制台”应用程序.)。
• 在某些特定情况下，任何“手动传输”协议(例如，当脱机根CA为中间CA颁发证书时，传输必须涉及类似USB密钥的内容，因为根CA是脱机的)。

证书本身通常被编码为“原样”(X.509 DER或PEM)，或者包装到所谓的PKCS#7 (CMS)对象中。CMS从来不是用来传递证书的(这是一种加密和签名格式)，但是传统上使用它来发送证书和一组“助手证书”(用于验证的中间CA )。

一些CA自己生成私钥(在CA端)，在这种情况下，私钥必须发送给请求者；通常，PKCS#12 (又名PFX)存档用于包含证书和私钥，并提供密码保护(基于密码的加密)。

由于证书是签名的，并且只包含公共数据，因此它的完整性在接收时很容易得到验证，它的传播方式对安全性来说并不重要。这是证书的主要优点。

Answer 2

由于证书是通过设计进行防篡改的，并且只包含公共信息，所以它们不需要以安全的方式传递。正如您所说，PEM编码的证书只是一个文件，所以您可以以发送任何其他文件的方式发送它。将其作为附件发送将有效，我相信有些CA提供了一种交付方法。

在这里，我们主要使用Entrust CA，所以这是我最有经验的一个CA；与它们一起，您可以在他们的站点上创建一个帐户，让您可以访问他们的购物车来订购证书/上传CSR。当证书准备好后，他们会给你发一封电子邮件，让你知道你可以再次登录并捡起它(右击你订购的证书列表中的“另存为”)。

Answer 3

CA用于评估CRT中的数据并对其进行签名，从而生成X.509公钥证书。沟通不是重点。它可以是电子邮件，http，目录(ldap)或任何客户端选择他的证书。格式也不是重点，二进制编码和PEM是常见的解决方案。