[发明专利]一种数字证书管理方法及系统

权利要求书

1.一种数字证书管理方法，所述数字证书为包括签名证书和加密证书的双证书，其特征在于，所述方法应用于包括密钥管理单元KM、认证单元CA以及注册审核单元RA的数字证书管理系统中，包括：

所述CA接收所述RA发来的证书签发请求并解析生成密钥对生成请求并发送给所述KM；

所述KM根据所述密钥对生成请求，生成密钥对并发送，且更新密钥对状态为待使用；

所述CA根据所述密钥对签发双证书，且更新CA证书状态为待使用；

所述RA接收并安装所述双证书，当安装成功，则更新所述RA证书状态为待使用；

所述方法，还包括：

当所述RA证书状态为待使用时，封装所述RA的RA证书状态更新消息并发送至RA-CA消息队列；

当所述RA证书状态更新消息发送成功，则将所述RA证书状态更新为使用中；

所述CA通过RA-CA消息队列订阅主题为RA的消息，获取所述RA证书状态更新消息；

根据所述RA证书状态更新消息，封装所述CA的CA证书状态更新消息并发送至CA-KM消息队列；

当所述CA证书状态更新消息发送成功，则将所述CA证书状态更新为使用中；

所述KM通过CA-KM消息队列订阅主题为CA的消息，获取所述CA证书状态更新消息；

根据所述CA证书状态更新消息，获取密钥对标识ID，并将所述密钥对ID对应的密钥对状态更新为使用中；

当接收到用户输入的待更新证书序列号时，所述方法，还包括：

所述RA查询所述待更新证书序列号对应的RA证书状态；

当所述RA证书状态为使用中或已更新时，生成更新请求发送给所述CA；

所述CA根据所述更新请求生成密钥对更新请求并发送给所述KM；

所述KM根据所述密钥对更新请求，生成新密钥对并发送，且更新新密钥对状态为待使用，更新旧密钥对状态为待注销；

所述CA根据所述新密钥对签发新双证书，且更新CA新证书状态为待更新，更新CA旧证书状态为待注销；

所述RA接收后安装所述新双证书，当安装成功，则更新所述RA新证书状态为待更新，更新RA旧证书状态为待注销；

当所述RA新证书状态为待更新时，封装所述RA的RA证书状态更新消息并发送至所述RA-CA消息队列；

当所述RA证书状态更新消息发送成功，则将所述RA新证书状态更新为使用中，将所述RA旧证书状态更新为已注销；

所述CA通过RA-CA消息队列订阅主题为RA的消息，获取所述RA证书状态更新消息；

根据所述RA证书状态更新消息，封装所述CA的CA证书状态更新消息并发送至CA-KM消息队列；

当所述CA证书状态更新消息发送成功，则将所述CA新证书状态更新为使用中，将所述CA旧证书状态更新为已注销；

所述KM通过CA-KM消息队列订阅主题为CA的消息，获取所述CA证书状态更新消息；

根据所述CA证书状态更新消息，获取新密钥对标识ID和旧密钥对ID，并将所述新密钥对ID对应的密钥对状态更新为使用中，将所述旧密钥对ID对应的密钥对状态更新为已注销。

2.根据权利要求1所述的方法，其特征在于，所述RA安装所述双证书之前，所述方法，还包括：

所述RA接收并保存所述双证书，且更新RA证书状态为未安装。

3.根据权利要求1所述的方法，其特征在于，所述方法，还包括：

当所述数字证书签发或更新出现异常时，所述RA、所述CA、所述KM的一种或多种分别查询各自对应的RA证书状态、CA证书状态、密钥对状态的一种或多种；

根据所述RA证书状态、CA证书状态、密钥对状态的一种或多种以及预先规定的状态机跳转规则，再次进行数字证书的签发或更新。