在向ca申请证书时，用户的公私钥对是怎么产生的，ca保存有用户的私钥码？

http://wenku.baidu.com/link?url=tl1jMztBtgUzqr55TmEOvLxlat49Bi2m6-RaVU3ldADpqo5bhMa5BN4cAboGjYH7FTQfV8Uf2xuafD6EVcc3k0EfsyOvRG9PIK-4_xN0Jo3

热心网友

一、 所问应指单证书，这个前提下进行回答如下：     1、证书的公私钥对，是由用户端产生，如是软件证书就是客户端浏览器或客户端程度产生，如用硬件介质（常用USB KEY），则是在硬件介质中产生。     2、单证中密钥对不由ca产生，不存在它是将私钥发送给用户的情况，也无ca那里负责保存用户的私钥码的情况。    二、扩展说明。国内当前是双证书体系，即用户同时拥有签名证书、加密证书两张证书。这个前提下：    1、用户签名证书的情况同上述回答。    2、用户加密证书，则是由KM系统（密钥管理系统）产生并保存。    3、相应的私钥由用户的签名证书公钥进行加密后传输到客户端。这里有个行业内的术语，叫“密钥不落地”。

追问

非常感谢，但是还想问，如果是单证书，在客户端产生，那么它的数字证书是怎么形成的？是否需要ca参与？请说明一下客户端自己生成公私钥对后，ca帮他生成数字证书的过程。谢谢了

回答

简要解答：    1、客户端生成公钥对，将相关的证书信息及公钥发送给CA中心（一般是发给RA系统，由RA系统完成相应的审核后，提交CA签发）    2、CA系统利用自己的证书（证书私）对通过审核的证书申请信息及相应的公钥做签名。    3、CA系统将签名处理后的申请证书信息返回给客户端。    4、客户端将CA系统签名后的数据与客户端的私钥组合形成数字证书。

提问者评价

谢谢!