信息安全工程师教程：证书管理功能

②证书管理功能 CA为其证书管理层次下的实体提供三个基本服务，即证书发行、更新和撤消。
证书发行（Certificate Issuance）
SET定义有三种方式：Web方式（交互式）、E-mail方式和离线（非交互式）方式。
因为交互式具有灵活方便等优点，故首选 Web方式，如持卡人通过 Web申请 CCA，需经历三个阶段：
①持卡人申请证书的请求 /应答过程。通过消息变量 Card lnit Reg和 Card list Res来唤醒 SET应用，并分发根的签名证书，此过程中包含采用 Web所需的 MIME信息。
②持卡人申请登记表的请求 /应答过程，通过消息变量 Reg Form Reg和 Reg Form Res来传递登记表。
③证书请求和生成过程。通过 Cert Reg和 Cert Res来颁发证书。
通过三对消息的交换。申请者可将私人信息和账号传递给 CA，而 CA通过确认身份，（与发卡行协作）后颁发证书。
证书更新（Certificate Renewal）
出于安全考虑，密钥都有一定的使用期，因此所有的证书都需要定期更新，在每份证书中都说明了失效期，具体的更新周期，由 CA制定的策略来决定。根证书被更新后，只是失去了发证功能，但仍存在于信任链中，直到它颁发的所有证书都失效后， RCA才失效。证书更新过程与证书颁发过程相同。
证书撤消（Certificate Revocation）
证书撤消是整个证书管理机制中昀有效的安全保障手段，它能够及时避免证书面临危险时对 SET交易的影响，有多种原因需要对证书进行撤消，如怀疑私钥泄漏、证书标识信息被改变、以及中止使用等，它在一定程度上体现和延续了现今的信用卡管理体系，使证书达到或超过信用卡的安全程度，充分保障了网上的正常交易。
CRL（Certificate Revocation List，证书废除列表）是由 X. 509协议定义的一种用于公布和分发含有被废除证书的列表的机制。每个 CA（除 MCA和 CCA外）都维护着一个自己的 CRL，用于公布被废除的由它所生成和签定的证书名单。 BCL（Brand CRL Identifier）是指针对某个信用卡品牌的所有目前使用的 CRL，是由 SET协议定义的，并由 BCA（Brand Certificate Authority）来维护。每当一份证书被废除，CA就会发布新的 CRL，而相应的 BCL也会被更新。SET协议运用 CRL和 BCL，可以有效地避免交易过程中欺诈行为所带来的危害，它赋予了证书管理更为有力和更具效率的可操作性。在证书废除的复杂机制中，支付网关担当着至关重要的角色。这是因为 SET交易中支付网关是传递支付信息的枢纽，它将由持卡人传来的支付自动递交给支付银行的主机，并把交易结果反馈回商家。SET协议针对参与交易的不同对象，制定了具体的证书废除过程。

报考须知：2016信息安全工程师报考指南 报名时间 考试大纲 考试教材

备考练习：2016信息安全工程师章节练习 每日一练 历年真题 考前密卷

加入信息安全工程师考友QQ群：11824850，交流学习，随时获取考试信息。

信息安全工程师考试备考已经开始，尚大特邀名师授课（马上免费试听），全面讲解考试重要知识点，保过班、精品班、直播班，为您的考证之路保驾护航。