雙證書具體技術流程如下:

1.用戶CSP產生臨時密鑰對。

2.用戶CSP將臨時公鑰傳遞給CA系統。

3.CA向KMC發送密鑰申請信息,包括序號、主題、有效期、申請公鑰類型和長度、臨時公鑰等。

4.KMC根據CA组织註冊的通信證書驗證CA密鑰申請的合法性。

5.KMC從備用密鑰庫查詢密鑰對。

6.備用密鑰庫將正式密鑰對返回KMC。

7.KMC產生對稱密鑰。

8.KMC用對稱密鑰加密正式私鑰。

9.KMC用臨時公鑰加密對稱密鑰。

10.KMC將正式密鑰對用KEK加密後存儲到在用密鑰庫(KEK是對密鑰進行安全加密的專用密鑰,需要預先設置)。

11.KMC將正式公鑰、對稱密鑰密文(臨時公鑰加密)、正式私鑰密文(對稱密鑰加密)等返回給CA。

12.CA根據正式公鑰產生用戶正式公鑰證書。

13.CA將正式公鑰證書、對稱密鑰密文(臨時公鑰加密)、正式私鑰密文(對稱密鑰加密)返回給用戶CSP。

14.用戶CSP使用臨時私鑰解密取得對稱密鑰明文,用對稱密鑰解密取得正式私鑰明文,然後將正式公鑰證書和正式私鑰導入密碼介質。