Trong phần này quan tâm đên các quá trình trong quản lý chứng chỉ: Phát hành, cập nhật, tạm treo và thu hồi các chứng chỉ. Các quá trình này bị chi phối bởi các yêu cầu và các quá trình dành cho việc tự quản lý các cặp khoá công khai và khoá riêng. Trong thực tế, quá trình sinh cặp khoá và quá trình tạo chứng chỉ được kết hợp chặt chẽ.
2.3.2.1 Quá trình sinh cặp khoá
Khi một khoá mới được sinh ra, cần chuẩn bị chuyển giao an toàn:
Chuyển giao khoá riêng cho đối tượng nắm giữ cặp khoá của hệ thống. Nếu có yêu cầu sao chép dự phòng, cần chuyển giao khoá riêng cho hệ thống này và
Chuyển giao khoá công khai cho một hoặc nhiều CA sử dụng trong quá trình tạo chứng chỉ.
Một cặp khoá được sinh ra ở một trong hai nơi (là hai lựa chọn cơ bản):
Hệ thống lưu giữ cặp khoá (Key pair holder system): Cặp khoá được sinh ra trong cùng một hệ thống (trong cùng một thẻ bài phần cứng hoặc modul phần mềm), sau đó khoá riêng sẽ được lưu giữ và sử dụng. Đối với các cặp khoá dùng cho chữ ký số, chúng được sử dụng để hỗ trợ cho các yêu cầu chống chối bỏ, đây là một bước chuẩn bị quan trọng vì khoá riêng không bao giừo tách khỏi môi trường tự nhiên của nó trong thời gian tồn tại, điều này tạo ra sự tin cậy, không một thành viên nào khác có thể có được thông tin về khoá riêng này.
Hệ thống trung tâm (central system): Cặp khoá được sinh ra trong một hệ thống trung tâm nào đó, có thể liên klết với một CA và khoá riêng được chuyển tới một hệ thống khoá lưu giữ cặp khoá một cách an toàn. Hình thức này thuận lợi hơn việc sinh ra cặp khoá trong một hệ thống lưu giữ trên vì hệ thống trung tâm có thể có các tài nguyên rất lớn và các kiểm saot mạnh hơn, do đó có khả năng sinh ra một cặp khoá chất lượng tốt hơn (ít có khả năng phán đoán và tính toán). Nếu khoá riêng của một cặp khó được sao lưu trong một hệ thống trung tâm thì đây là một bước chuẩn bị thích hợp bởi vì một hệ thống tương tự hoặc các hệ thống liên quan chặt chẽ sẽ thực hiện các chức năng sinh khoá và sao lưu khoá.
2.3.2.2 Bảo vệ khoá riêng
Việc sử dụng kỹ thuật và các chứng chỉ khoá công khai phụ thuộc vào khoá riêng mà chỉ những đối tượng được nhận dạng thông qua một chứng chỉ khoá công khai có khả năng sử dụng. Vì vậy, việc bảo vệ khoá riêng không bị truy nhập trái phép là hết sức quan trọng.
Các khoá riêng được bảo vệ thông qua các giải pháp sau:
Lưu giữ trong một modul phần cứng thường trú hoặc thẻ bài. Ví dụ như thẻ thông minh hoặc thẻ PCMCA
Hoặc lưu giữ trên một tệp dữ liệu được mã hoá trong một hệ thống máy tính hoặc một thiết bị lưu giữ dữ liệu thông thường.
Trong trường hợp khác, cần tránh truy nhập vào khoá thông qua một hoặc nhiều kỹ thuật xác thực cá nhân. Nói chung, việc xác thực cá nhân cần có mật khẩu hoặc PIN (số hiệu nhận dạng cá nhân). Ví dụ với giải pháp (b), việc mã hoá cần sử dụng một khoá đối xứng, khoá này được tính toán từ một mật khẩu hoặc PIN và chỉ có đối tượng nắm giữ khoá công khai biết được.
Các giải pháp xác thực cá nhân khác ví dụ như sở hữu một thẻ bài vật lý hoặc kiểm tra sinh trắc học, đặc biệt các giải pháp này được sử dụng kết hợp với giải pháp (a).
Nói chung, giải pháp (a) có thể cho an toàn cao hơn giải pháp (b) nhưng chi phí lại quá cao. Giải pháp (b) đôi khi được sử dụng để bảo vệ một hoặc nhiều khoá riêng và/hoặc thông tin nhạy cảm có trong một Cơ sở dữ liệu.