- 用户到RA中心申请证书
- USBKey产生签名**和CSR证书申请文件(P10),将CSR提交到RA
- RA向CA提交CSR和用户信息
- CA获取用户信息和CSR,向KMC申请**
- KMC生产一个对称加***和一对非对称加***
- 对称**加密加密私钥
- 用户签名公钥加密对称**
- KMC将加密公钥、已加密的加密私钥、已加密的对称**发给CA
- CA根据用户签名公钥和用户信息生成签名证书
- CA根据加密公钥和用户信息生成加密证书
- RA下载加密证书、签名证书、已加密的加密私钥、已加密的对称**
- 用户端下载加密证书、签名证书、已加密的加密私钥、已加密的对称**
- 用户根据签名私钥解密得到对称**
- 用户根据对称**得到加密私钥
