想请教一下关于CA中心的密钥生成和分发的问题,

zhaoyang

我看到相关的资料说ca中心是用来对公开密钥系统的公开密钥进行签名\r\n分发的，给申请者一个关于公开密钥的签名。但是我知道任何一个公钥\r\n必须有相应的私钥的密钥对，那其中的私钥和公钥密钥对是谁产生的，是\r\n由ca中心产生的，还是用户提供的，ca中心只是签一下名，管理一下，而公钥私钥还是用户产生的？如果是ca中心产生的，那末，他的公钥和私钥\r\n的产生的依据是不是根据RSA算法还是别的啥，如果不是rsa算法，那\r\n末，用户咋知道是用啥方法进行加密和解密的。同时，ca给申请签名\r\n的用户的IC卡或e-key之类的存储介质是否不但包括用户的公开密钥的\r\n签名还包括用户用来进行签名和解密的私钥。如果ca不给私钥的话，用户\r\n咋进行签名呢？

leader

一般公钥和私钥都由用户自己生成，然后用户提供自己的公钥和用于说明自己身份的相关信息给CA中心，由CA为你的公钥进行签名。\r\n\r\n所谓CA中心生成公私钥的过程其实说到底不应该说是CA中心的工作，而是CA中心提供了个生成公私钥的工具，或者说是功能给用户，而算法、长度，也是在生成时给予指定的，最终生成的还是一对钥匙。至于你说的IC卡和e-key之类的应用，偶就不是特了解了。不过原则上私钥肯定不应该在这介质上，而应该在读卡器之类的里面。这里面还是只应该有公钥及其CA签名。

bingocn

用户的公私钥对可以由用户生成，也可以集中产生（比如KMC密钥管理中心）。\r\nIC卡或者ekey里面一般都包括用户的证书、私钥（被IC卡里面的对称密钥加密，需要口令才可以*使用*私钥，私钥通常不能明文导出）等。也就是说，私钥肯定在用户那里。