Mật mã phi đối xứng dựa trên việc sử dụng các cặp khoá bí mật/công khai. Khoá công khai thông thường được phân phối trong khuôn dạng của chứng chỉ, trong khi khóa bí mật là một cấu trúc dữ liệu khác và tách biệt luôn được bảo vệ khỏi việc bị phơi bày không được phép trong khi truyền, sử dụng và lưu trữ. Thuật
ngữ quản lý vòng đời của khoá/chứng chỉ (key/certificate life-cycle management) biểu thị các chức năng quản lý chu kỳ sống tương ứng với việc tạo, phát hành và huỷ bỏ đó của các cặp khoá bí mật/công khai và các chứng chỉ tương ứng với chúng[1,7].
Trong phần này chúng ta bàn về các giai đoạn khác nhau của quản lý chu kỳ sống của khoá/chứng chỉ mà cần phải được đề xuất như một phần của bất kỳ một PKI đầy đủ. Ở những nơi thích hợp, chúng ta cũng bàn về quan hệ mà việc quản lý khoá có đối với cách sử dụng thực của các khoá. Các chức năng quản lý chu kỳ sống của khoá/chứng chỉ được xem xét tách biệt khỏi cách sử dụng của các khoá bí mật/công khai. Cách sử dụng có liên quan tới việc thực hiện các phép toán mật mã. Nó bao gồm việc áp dụng khoá ký bí mật để sinh ra chữ ký số và áp dụng khoá kiểm tra công khai tương ứng để thực hiện việc kiểm tra chữ ký số. Một cách tương tự, cách sử dụng bao gồm việc áp dụng khoá mã công khai để mã dữ liệu và áp dụng khoá giải mã bí mật tương ứng để giải mã dữ liệu.
Cần nhận thức rằng việc bàn luận ở đây được dựa vào sự phân tách nền tảng giữa định danh (identity) của thực thể cuối (tức là, người sử dụng đầu cuối, quá trình hoặc thành phần) và các khoá tương ứng với thực thể đầu cuối. Nói một cách khác, quá trình quản lý vòng sống của khoá/chứng chỉ được mô tả ở đây là tương ứng với việc sinh, cấp phát và huỷ bỏ sau đó của các khoá, chứ không tương ứng với định danh của cá thể, quá trình hoặc thành phần tương ứng với các khoá đó.
Các giả thiết đối với việc quản lý đầy đủ vòng đời của khoá/chứng chỉ cần giữ trong bộ nhớ là:
Quản lý vòng đời của khoá/chứng chỉ tại thực thể đầu cuối là không thực tế.
Quản lý vòng đời của khoá/chứng chỉ cần phải được tự động hoá càng nhiều càng tốt.
Quản lý vòng đời của khoá/chứng chỉ cần phải kín đáo nhất đối với thực thể đầu cuối như có thể.
Quản lý đầy đủ vòng đời của khoá/chứng chỉ đòi hỏi hoạt động an toàn và sự hợp tác của các thực thể được tin cậy như các RA và các CA, cũng như các phần mềm phía máy khách mà tương tác với các thành phần này khi cần thiết.
Hình sau minh hoạ các giai đoạn khác nhau của việc quản lý vòng đời của khoá/chứng chỉ. Một thuật ngữ tương tự, quản lý khoá (key management) hoặc trao đổi khoá (key exchange), thường được sử dụng để ký hiệu phương pháp mà trong đó các khoá mã/giải mã được chuyển tới các bên thích hợp. Cách giải thích này không nên bị lẫn với việc quản lý vòng đời của khoá/chứng chỉ như nó được sử dụng ở đây. Chúng ta nhận thấy rằng một số môi trường sẽ không nhất thiết đòi hỏi mỗi khía cạnh của chu kỳ sống của khoá/chứng chỉ ở đây. Để thoả mãn các đòi hỏi khác nhau, một PKI đầy đủ cần đề xuất từng dịch vụ trong số các dịch vụ được mô tả trong các mục sau đây.
Hình 3.3: Quản lý vòng đời khoá/chứng chỉ Khởi tạo Đăng ký
Sinh cặp khoá
Tạo chứng chỉ và phân phối khoá/chứng chỉ Phổ biến chứng chỉ
Sao lưu khoá(nếu thích hợp)
Phát hành Lấy chứng chỉ Xác nhận tính hợp lệ cho chứng chỉ Khôi phục khoá Cập nhật khoá Huỷ bỏ Hết hạn chứng chỉ Huỷ bỏ chứng chỉ Lịch sử khoá Lưu trữ khoá ¸