生成X509数字证书前,一般先由用户提交证书申请文件,然后由CA来签发证书。大致过程如下:
1) 用户生成自己的公私钥对;
2) 构造自己的证书申请文件,符合PKCS#10标准。该文件主要包括了用户信息、公钥以及一些可选的属性信息,并用自己的私钥给该内容签名;
3) 用户将证书申请文件提交给CA;
4) CA验证签名,提取用户信息,并加上其他信息(比如颁发者等信息),用CA的私钥签发数字证书;
X509证书申请的格式标准为pkcs#10和rfc2314。