加密服务提供程序 (CSP) 是执行身份验证、编码和加密服务的程序,基于 Windows 的应用程序通过 Microsoft 加密应用程序编程接口 (CryptoAPI) 访问该程序。每个 CSP 提供不同的 CryptoAPI 实现。某些提供更强大的加密算法,而另外一些则使用硬件组件(如智能卡)。
生成新证书的申请时,该申请中的信息先从申请程序发送到 CryptoAPI。CryptoAPI 向安装在计算机上或计算机可以访问的设备上的 CSP 提供正确的数据。如果 CSP 是基于软件的,则它在计算机上生成一个公钥和一个私钥,这两个密钥通常称为密钥对。如果 CSP 是基于硬件(如智能卡 CSP)的,则它指导一个硬件生成密钥对。
密钥生成后,基于软件的 CSP 将对私钥进行加密,从而保护私钥的安全。智能卡 CSP 将私钥存储在智能卡上。然后智能卡控制对密钥的访问。
公钥连同证书申请者信息一起发送到证书颁发机构 (CA)。CA 根据其策略验证证书申请后,将使用自己的私钥在证书中创建数字签名,然后将证书颁发给申请人。CA 将证书交给证书申请人,同时可以选择将该证书安装在计算机或硬件设备上适当的证书存储中。
有关详细信息,请参阅申请证书 和备用签名格式使用指南。